BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 發文稱,AI 開發工具 OpenClaw 近日被曝出一次「自我攻擊」安全事件。在執行自動化任務時,系統在調用 Shell 命令創建 GitHub Issue 過程中構造了錯誤的 Bash 指令,意外觸發命令注入,導致大量敏感環境變數被公開。
事件中,AI 生成的字串包含反引號包裹的 set,被 Bash 解釋為命令替換並自動執行。由於 Bash 在無參數執行 set 時會輸出當前所有環境變數,最終導致超過 100 行敏感資訊(包括 Telegram 密鑰、認證 Token 等)被直接寫入 GitHub Issue 並公開發布。
GoPlus 建議,在 AI 自動化開發或測試場景中,應盡量使用 API 調用取代直接拼接 Shell 命令,並遵循最小權限原則隔離環境變數,同時禁用高風險執行模式,並在關鍵操作中引入人工審核機制。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
北韓演員透過加密攻擊在 2026 年 4 月前提取了 $577M ,佔全球損失的 76%
根據 TRM Labs,北韓行動者在 2026 年前四個月中約竊取了 5.77 億美元,佔該期間全球所有加密貨幣駭客損失的 76%。此次竊取源自兩起 4 月事件:2.92 億美元的 KelpDAO 被利用事件,以及 2.85 億美元的 Drift
GateNews1小時前
北韓在 2026 年前四個月的加密駭損失中佔 76%,$577M 遭竊:TRM Labs
根據 TRM Labs 的說法,北韓行動者在 2026 年前四個月中,透過攻擊大約竊取了 5.77 億美元,佔該期間所有全球加密貨幣駭損失的 76%。這些損失源自 兩起 4 月事件:2.92 億美元的 KelpDAO 創/利用事件,以及 2.85 億美元的 Drift Pr
GateNews1小時前
Kelp 兩週後全面升級跨鏈橋、ether.fi 同步硬化 WeETH
4月18日 rsETH 跨鏈橋遭駭後兩週,Kelp 於4/29完成升級:驗證者4/4、區塊確認64、拓撲採 hub-and-spoke,跨鏈訊息必須經以太主網中轉。ether.fi 亦同步硬化 weETH,並加入 DeFi United 捐贈5,000 ETH。DeFi United動員逾70,000 ETH救援資金,Aave 等市場利率顯著下降;但攻擊者仍持有約107,000 rsETH待清算,需治理與委員會式流程回收。
鏈新聞abmedia1小時前
Wasabi 遭駭 290 萬美元:管理員私鑰外洩、合約被改成惡意版本
DeFi 衍生品 Wasabi Protocol 4/30 遭管理員私鑰外洩,攻擊者透過 Deployer EOA 獲得 ADMIN_ROLE,再利用 UUPS 升級機制替換 perp vaults 與 LongPool 為惡意版本,直接提款。CertiK 初估損失約 290 萬美元,影響以太坊主網與 Base;Wasabi 已公告暫停互動,Virtuals Protocol 也凍結 Wasabi 相關保證金。此事件凸顯上游私鑰安全對下游生態的風險。
鏈新聞abmedia3小時前
WasabiCard 澄清與 Wasabi Protocol 和 Wasabi Wallet 無關,日期為 4 月 30 日
根據 BlockBeats,WasabiCard 於 4 月 30 日發布安全聲明,澄清其與 Wasabi Protocol、Wasabi Wallet 或相關項目與機構並無關聯。該平台與 Safeheron 合作提供託管錢包服務,並與安全審計方合作
GateNews4小時前
