BlockBeatsの報告によると、3月5日、Web3セキュリティ企業のGoPlusは、AI開発ツールのOpenClawが最近「自己攻撃」型のセキュリティインシデントを起こしたと発表しました。自動化タスクの実行中、システムがShellコマンドを呼び出してGitHub Issueを作成する過程で誤ったBash命令を構築し、コマンドインジェクションが偶発的に発生。多くの機密環境変数が公開されてしまいました。
事件では、AIが生成した文字列にバッククオートで囲まれたsetコマンドが含まれており、Bashによってコマンド置換として解釈・自動実行されました。Bashは引数なしでsetを実行すると、現在のすべての環境変数を出力するため、最終的にTelegramのキーや認証トークンなどを含む100行以上の機密情報がGitHub Issueに直接書き込まれ、公開されてしまいました。
GoPlusは、AIによる自動化開発やテストの場面では、シェルコマンドの直接連結を避け、API呼び出しを利用することを推奨しています。また、最小権限の原則に従い環境変数を隔離し、高リスクな実行モードを無効化、重要な操作には人間の監査を導入することを勧めています。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
Aftermath Finance が攻撃を受け損失 114 万、Mysten Labs はユーザーに全額補償を提供
GoPlus が 4 月 30 日に公開した攻撃事象の技術分析および Aftermath Finance 公式発表によると、Sui チェーンの永続先物(サステイン)契約プラットフォームである Aftermath Finance は 4 月 29 日に攻撃を受け、損失は 114 万ドル(114 万米ドル)を超えました。プロジェクト側は、Mysten Labs および Sui 財団の支援のもと、すべてのユーザーが全額補償を受けると発表しています。
MarketWhisper24分前
Aftermath Finance、4月29日の攻撃で1,140万ドル超の損失 全ユーザーの補償を約束
PANewsによると、Suiブロックチェーン上の無期限先物プラットフォームであるAftermath Financeは、4月29日の攻撃で114万ドル超の損失を被りました。GoPlusの分析では、攻撃者がcalculate_taker_fees関数内のシンボル不一致の脆弱性を悪用し、add_integrator_config関数を通じてADMIN権限を奪うことで、トークンを繰り返し抽出したことが明らかになりました。
GateNews1時間前
SWEAT 協議被盗 137.1 億トークン、契約を停止後にユーザー資金を完全に回復
SWEATプロトコル攻撃の発生後に公開された事後報告によると、水曜日に発生した脆弱性攻撃事件で盗まれたユーザー資金は完全に回復しており、プロトコルの運営は通常どおりに戻っています。暗号セキュリティ企業のBlockaidは、攻撃者が約137.1億枚のSWEATトークンを盗んだと推定しています。SWEATチームはすぐにトークンのコントラクトを停止し、取引所および流動性提供者のRhea Financeに連絡した結果、最終的にすべてのユーザーの口座残高を回復しました。
MarketWhisper1時間前
ハッカーが30万件超の記録が侵害されたと主張した後、Polymarketがデータ侵害の申し立てを否定
Polymarketの公式発表によれば、予測市場プラットフォームは、データ侵害を受けたという最近の非難を否定し、拡散されている情報は公開APIエンドポイントおよびオンチェーンのブロックチェーンデータに関するものだと述べた。「xorcat」という仮名を使うハッカーは、
GateNews9時間前
