BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 发文称,AI 开发工具 OpenClaw 近日被曝出现一次「自我攻击」安全事件。在执行自动化任务时,系统在调用 Shell 命令创建 GitHub Issue 过程中构造了错误的 Bash 指令,意外触发命令注入,导致大量敏感环境变量被公开。
事件中,AI 生成的字符串包含反引号包裹的 set,被 Bash 解释为命令替换并自动执行。由于 Bash 在无参数执行 set 时会输出当前所有环境变量,最终导致超过 100 行敏感信息(包括 Telegram 密钥、认证 Token 等)被直接写入 GitHub Issue 并公开发布。
GoPlus 建议,在 AI 自动化开发或测试场景中,应尽量使用 API 调用替代直接拼接 Shell 命令,并遵循最小权限原则隔离环境变量,同时禁用高风险执行模式,并在关键操作中引入人工审核机制。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
深度伪造诈骗卡尔达诺开发者,揭露新的安全薄弱点
一位 Cardano 开发者表示,一次逼真的 AI 深度伪造视频通话导致了笔记本电脑遭入侵,这提醒人们,下一波加密攻击可能会从“面孔”和“声音”开始,而不是从智能合约出手。
该警告与 Cardano 社区分享,描述了一起事件:冒充者使用了
DailyCoin5小时前
法国检察官指控一起加密“撬锁”袭击团伙88人
法国当局已就绑架和勒索加密货币所有者相关事宜,指控88名个人,其中包括10名未成年人;据法国国家反有组织犯罪公诉机关 (PNACO) 于周五发布的一份声明称。指控与12起正在进行的案件相关
Crypto Frontier7小时前
当 DeFi 对年轻人来说太慢,对老钱来说太危险:我们都在用国债利息扛垃圾债的风险?
DeFi 曾以五位数 APY 吸引年轻人,如今被认为过度定价与风险过高。过去一年被盗超过 16.2 亿美元,Aave 一度利率飙至 12.4%。公允收益率约 12.55%,散户门槛 18%,机构偏好“策略隔离金库”以降低尾部风险。结论:高杠杆已不再,未来需更高风险定价与保险工具,才能同时容纳年轻人与老钱。
鏈新聞abmedia11小时前
Robinhood 警惕发送给部分客户的钓鱼邮件
Gate News 消息,4月27日——Robinhood 在社交媒体上提醒用户,上一周日晚上有些客户收到了冒充邮件,声称来自 noreply@robinhood.com,邮件主题为“Your recent login to Robinhood.”
这次网络钓鱼企图源于对账号创建流程的滥用,而不是公司系统或客户账户遭到泄露。Robinhood 确认个人信息和客户资金未受影响。
GateNews11小时前
Websea 加密交易所疑似遭遇“出逃骗局”,出金渠道已关闭
Gate News 消息,4 月 27 日——加密交易平台 Websea 已暂停出金,并关闭其 C2C (点对点) 渠道,多位用户表示该交易所似乎已实施“跑路/出逃骗局”。平台最初曾限制出金,随后彻底停止 C2C “)
GateNews12小时前
RAVE 代币两周暴涨 110 倍,随后在市场操纵指控中暴跌 98%
Gate News 消息,4月27日——RAVE,RaveDAO (一个基于 Web3 的文化社区项目的原生代币),在两周内暴涨 110 倍,随后于 4 月 19-20 日两天内暴跌 98%,引发了与韩国臭名昭著的 2007 年 Lubo 股票操纵丑闻的对比。
4月18日,RAVE r
GateNews15小时前
