BlockBeats notícia, a 5 de março, a empresa de segurança Web3 GoPlus publicou que a ferramenta de desenvolvimento de IA OpenClaw foi recentemente exposta a um incidente de “auto-ataque” de segurança. Durante a execução de tarefas automatizadas, o sistema construiu comandos Bash incorretos ao chamar o comando Shell para criar uma Issue no GitHub, o que inadvertidamente acionou uma injeção de comandos, levando à divulgação de várias variáveis de ambiente sensíveis.
No incidente, a string gerada pela IA continha um set envolvido por crases, que foi interpretado pelo Bash como substituição de comando e executado automaticamente. Como o Bash, ao executar set sem argumentos, exibe todas as variáveis de ambiente atuais, isso resultou na escrita direta de mais de 100 linhas de informações sensíveis (incluindo chaves do Telegram, tokens de autenticação, etc.) na Issue do GitHub, tornando-as públicas.
A GoPlus recomenda que, em cenários de automação de IA para desenvolvimento ou testes, seja preferível usar chamadas de API em vez de concatenar comandos Shell diretamente, seguir o princípio de menor privilégio para isolar variáveis de ambiente, desativar modos de execução de alto risco e implementar mecanismos de revisão manual em operações críticas.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A fuga da chave privada da Syndicate Labs leva a $330K SYND Drain em 1 de maio; a empresa promete reembolso total
De acordo com a Syndicate Labs, a 1 de maio, um vazamento de chave privada resultou em upgrades maliciosos aos contratos da ponte cross-chain da empresa em duas blockchains. Os atacantes drenaram aproximadamente 18,5 milhões de tokens SYND (no valor de cerca de $330.000) e cerca de $50.000 em tokens de utilizadores. O incidente afetou apenas
GateNews3h atrás
Atores norte-coreanos extraem $577M em ciberataques cripto até abril de 2026, respondendo por 76% das perdas globais
De acordo com a TRM Labs, atores norte-coreanos extraíram aproximadamente 577 milhões de dólares nos primeiros quatro meses de 2026, representando 76% de todas as perdas globais de ciberataques com criptomoedas durante o período. O roubo resulta de dois incidentes de abril: o exploit de KelpDAO no valor de 292 milhões de dólares e o caso de Drift no valor de 285 milhões de dólares
GateNews7h atrás
A Coreia do Norte foi responsável por 76% das perdas com ataques criptográficos em 2026 nos primeiros quatro meses, $577M roubado: TRM Labs
De acordo com a TRM Labs, atores norte-coreanos extraíram aproximadamente 577 milhões de dólares nos primeiros quatro meses de 2026, representando 76% de todas as perdas globais por hacks de criptomoedas durante o período. As perdas resultam de dois incidentes de abril: o exploit da KelpDAO no valor de 292 milhões de dólares e o incidente da Drift Pr
GateNews7h atrás
Kelp actualiza integralmente a ponte entre cadeias após duas semanas, ether.fi reforça simultaneamente a robustez do WeETH
Há duas semanas após o hack da ponte cross-chain de rsETH em 18 de abril, a Kelp concluiu a actualização em 29/4: validadores a 4/4, 64 confirmações de blocos, topologia com hub-and-spoke e as mensagens cross-chain têm de ser encaminhadas através da mainnet do Ethereum. A ether.fi também endureceu simultaneamente o weETH e juntou-se à doação da DeFi United de 5.000 ETH. A DeFi United mobilizou mais de 70.000 ETH para fundos de resgate, com as taxas de mercado de protocolos como o Aave a descerem de forma significativa; no entanto, o atacante ainda detém cerca de 107.000 rsETH para liquidação, exigindo um processo de governação e um fluxo do tipo comité para recuperar os fundos.
ChainNewsAbmedia7h atrás
