BlockBeats сообщает, 5 марта, компания по безопасности Web3 GoPlus опубликовала заявление о том, что недавно инструмент для разработки AI OpenClaw был вовлечен в инцидент безопасности, связанный с «самоатакой». Во время выполнения автоматизированных задач система при вызове Shell-команды для создания GitHub Issue сформировала неправильную Bash-команду, что случайно вызвало инъекцию команд и привело к раскрытию большого количества чувствительных переменных окружения.
В случае инцидента строка, сгенерированная AI, содержала обратные кавычки, окружающие команду set, которая Bash интерпретировала как замену команды и автоматически выполнила её. Поскольку при запуске set без параметров Bash выводит все текущие переменные окружения, в результате более 100 строк чувствительной информации (включая ключи Telegram, токены аутентификации и т. д.) были напрямую записаны в GitHub Issue и опубликованы публично.
GoPlus рекомендует в сценариях автоматизированной разработки или тестирования с использованием AI по возможности применять вызовы API вместо прямого составления Shell-команд, соблюдать принцип минимальных привилегий для изоляции переменных окружения, отключать режимы выполнения с высоким риском и вводить механизмы ручной проверки при выполнении критических операций.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Криптобиржа Grinex обворована на $13,7 млн в апреле 2026 года, операции приостановлены
В расследовании Global Ledger, опубликованном в апреле 2026 года, говорится, что Grinex, криптовалютная биржа, работающая из Кыргызстана и находящаяся под санкциями, была выведена из оборота примерно на 13,7 миллиона долларов и немедленно приостановила работу. Grinex появился в марте 2025 года как предполагаемый преемник Garantex, a
GateNews3ч назад
Утечка приватного ключа в Syndicate Labs привела к выводу средств $330K SYND 1 мая; компания обязуется полностью возместить ущерб
По данным Syndicate Labs, 1 мая утечка приватного ключа привела к вредоносным обновлениям контрактов кроссчейн-моста компании на двух блокчейнах. Злоумышленники вывели примерно 18,5 млн токенов SYND (на сумму около 330 000 долларов) и около 50 000 долларов в пользовательских токенах. Инцидент затронул только
GateNews8ч назад
Актёры из Северной Кореи извлекали $577M в крипто-взломах до апреля 2026 года, на их долю приходится 76% глобальных потерь
Согласно TRM Labs, северокорейские акторы извлекли примерно $577 миллионов в первые четыре месяца 2026 года, что составляет 76% всех глобальных потерь от взломов криптовалют в этот период. Похищение связано с двумя апрельскими инцидентами: эксплойтом KelpDAO на $292 миллиона и кражей Drift на $285 миллионов
GateNews11ч назад
Северная Корея обеспечила 76% хакерских потерь в криптосфере за первые четыре месяца 2026 года, $577M украдено: TRM Labs
По данным TRM Labs, северокорейские акторы извлекли примерно 577 миллионов долларов в течение первых четырех месяцев 2026 года, что составляет 76% всех глобальных хакерских потерь в сфере криптовалют за этот период. Потери связаны с двумя апрельскими инцидентами: взломом KelpDAO на 292 миллиона долларов и атакой Drift Pr
GateNews11ч назад
Kelp планирует полное обновление кросс-чейн моста через две недели, ether.fi также синхронно усиливает безопасность WeETH
18 апреля после взлома межсетевого моста rsETH прошло две недели: 29/4 Kelp завершил обновление — валидаторы обновлены 4/4, подтверждение блоков — 64, топология — hub-and-spoke, а кроссчейн-сообщения должны проходить через мейннет Ethereum в качестве транзита. ether.fi также одновременно усилила weETH и добавила в DeFi United донат 5 000 ETH. DeFi United мобилизовал свыше 70 000 ETH спасательных средств; ставки по рынкам вроде Aave заметно снизились, но злоумышленники всё ещё держат около 107 000 rsETH, ожидающих клиринг — для возврата нужны механизмы управления и процессы в стиле комитетов.
ChainNewsAbmedia12ч назад
