BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 发文称,AI 开发工具 OpenClaw 近日被曝出现一次「自我攻击」安全事件。在执行自动化任务时,系统在调用 Shell 命令创建 GitHub Issue 过程中构造了错误的 Bash 指令,意外触发命令注入,导致大量敏感环境变量被公开。
事件中,AI 生成的字符串包含反引号包裹的 set,被 Bash 解释为命令替换并自动执行。由于 Bash 在无参数执行 set 时会输出当前所有环境变量,最终导致超过 100 行敏感信息(包括 Telegram 密钥、认证 Token 等)被直接写入 GitHub Issue 并公开发布。
GoPlus 建议,在 AI 自动化开发或测试场景中,应尽量使用 API 调用替代直接拼接 Shell 命令,并遵循最小权限原则隔离环境变量,同时禁用高风险执行模式,并在关键操作中引入人工审核机制。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Scallop 发现 sSUI 奖励池漏洞,损失 15 万 SUI 但承诺全额赔付
Gate 新闻消息,4月26日——Scallop,Sui 生态中的借贷协议,宣布发现与其 sSUI 奖励池相关的辅助合约中的漏洞,导致约 150,000 SUI 的损失。受影响的合约已被冻结,Scallop 证实
GateNews28 分钟前
莱特币因 MWEB 隐私层漏洞而经历深度链重组
Gate 新闻消息,4月26日——莱特币在周六经历了深度链重组 (reorg),原因是攻击者利用了其 MimbleWimble 扩展区块 (MWEB) 隐私层中的零日漏洞,莱特币基金会宣布。该重组覆盖了区块 3,095,930 至 3,095,943,并且
GateNews1小时前
莱特币首次出现隐私层遭入侵:MWEB 零日漏洞触发 13 区块链重组
根据 The Block,Litecoin 基金会证实 MWEB 隐私层遭遇零日漏洞,攻击者利用旧版节点使伪造 MWEB 交易视为有效,导致主链回滚 13 区块(约 3 小时),并对跨链交易所进行双花;NEAR Intents 暴露约 60 万美元,矿池亦遭 DoS。修补版已发布,请立即升级;主链余额不受影响,但凸显隐私层在降低可观测性与侦测难度之间的取舍。
鏈新聞abmedia3小时前
Aave,Kelp,LayerZero Seek $71M 从Arbitrum DAO释放被冻结的ETH
Aave Labs、Kelp DAO、LayerZero、EtherFi 和 Compound 于周六上午在 Arbitrum 论坛提交了一项宪法 AIP,要求网络的 DAO 释放大约 $71 百万美元的被冻结 ETH,以支持 rsETH 恢复工作,此前上周发生了 $292 百万美元 Kelp DAO 被利用事件。该提案
Crypto Frontier4小时前
莱特币遭遇深度链重组:MWEB 零日漏洞抹去三小时历史
Gate News 消息,4月26日——据莱特币基金会称,莱特币在周六发生了深度链重组 (reorg):攻击者利用其 MimbleWimble Extension Block (MWEB) 隐私层中的零日漏洞。该漏洞使运行较旧软件的挖矿节点能够
GateNews10小时前
Apecoin 内幕人士将 $174K 在一天内变现为 245 万美元:在 80% 涨幅两侧进行 14 倍交易
一只没有先前交易记录的匿名钱包,将价值174,000美元的以太币通过在单日内分别在80%价格飙升的两端交易Apecoin,从而变成245万美元。
要点:
钱包 0x0b8a 将价值174,000美元的ETH转换为一笔杠杆化的Apecoin多头交易,并在接近顶部时退出,带来了179万美元的收益
Coinpedia10小时前
