BlockBeats 消息,3 月 5 日,Web3 安全公司 GoPlus 发文称,AI 开发工具 OpenClaw 近日被曝出现一次「自我攻击」安全事件。在执行自动化任务时,系统在调用 Shell 命令创建 GitHub Issue 过程中构造了错误的 Bash 指令,意外触发命令注入,导致大量敏感环境变量被公开。
事件中,AI 生成的字符串包含反引号包裹的 set,被 Bash 解释为命令替换并自动执行。由于 Bash 在无参数执行 set 时会输出当前所有环境变量,最终导致超过 100 行敏感信息(包括 Telegram 密钥、认证 Token 等)被直接写入 GitHub Issue 并公开发布。
GoPlus 建议,在 AI 自动化开发或测试场景中,应尽量使用 API 调用替代直接拼接 Shell 命令,并遵循最小权限原则隔离环境变量,同时禁用高风险执行模式,并在关键操作中引入人工审核机制。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
摩斯密码骗过 AI 代理!黑客诱骗 Grok 与 BankrBot 转账,得手 17 万美元加密货币
X 平台爆出 AI 代理漏洞:攻击者以 Bankr Club NFT 获取 Grok 钱包转账权,再以摩斯密码指令促使 BankrBot 未经人审就转走约 3 亿 DRB,市值约 17.5 万美元。问题出在 BankrBot 架构未把 AI 输出当作授权,资金已追回,将加强 API 金钥与 IP 白名单等防护。
鏈新聞abmedia17 分钟前
Aave 在 Kelp DAO 被利用案中就 $73M ETH 的冻结提出异议
Aave LLC 于 5 月 1 日向联邦法院提交了一份紧急动议,寻求解除法院命令的冻结,该冻结影响约 7300 万美元的以太坊,这些以太坊与上个月 Kelp DAO 被利用事件有关,据该文件称。该动议对一项限制令提出了质疑,该限制令阻止 Arbitrum DAO 转移被收回的资金。
Crypto Frontier1小时前
Zondacrypto 首席执行官于 5 月 5 日携带 4,500 比特币私钥失踪;现任首席执行官逃往以色列
据 BlockBeats 报道,5 月 5 日,波兰加密货币交易所 Zondacrypto 的前 CEO 在 2022 年携带一台冷钱包的私钥失踪,冷钱包持有 4,500 BTC(目前价值超过 3.4 亿美元)。现任 CEO 承认该钱包现已无法访问,并据称已逃往以色列。
GateNews2小时前
Payward 声称 $25M 对 Etana 的加密托管欺诈行为
Payward,数字货币交易所 Kraken 的母公司,已提起诉讼,指控 Etana 及该公司首席执行官存在价值 2500 万美元的加密资产托管欺诈行为,具体内容见起诉状。据起诉状称,这些指控围绕声称客户资金被挪用、混同并作为一起“类似庞氏骗局”的一部分被隐匿的指控展开
Crypto Frontier3小时前
Bisq Protocol 遭到攻击,由于缺少验证机制,约 11 BTC 被盗
据 ChainCatcher 报道的官方声明,Bisq 协议近期遭到攻击,因缺少验证机制,约有 11 BTC 被盗。攻击者利用负矿工费漏洞,通过多重签名交易转移资金。
Bisq 是
GateNews4小时前
Aave 紧急动议反击 7,300 万美元 ETH 冻结:“小偷不拥有他偷走的东西”
Aave 向纽约南区法院提出紧急动议,要求解除对 30,766 ETH(约7,300万美元)的冻结。核心主张:赃物仍属原始用户,小偷无法取得所有权;赃物在 Arbitrum 安全委员会回拨时立即归还受害人;对北韩 Lazarus Group 的证据属传闻,听证预计于五月底举行。此案将影响 DeFi 治理与未来资产归属风险。
鏈新聞abmedia4小时前
