BlockBeats сообщает, 5 марта, компания по безопасности Web3 GoPlus опубликовала заявление о том, что недавно инструмент для разработки AI OpenClaw был вовлечен в инцидент безопасности, связанный с «самоатакой». Во время выполнения автоматизированных задач система при вызове Shell-команды для создания GitHub Issue сформировала неправильную Bash-команду, что случайно вызвало инъекцию команд и привело к раскрытию большого количества чувствительных переменных окружения.
В случае инцидента строка, сгенерированная AI, содержала обратные кавычки, окружающие команду set, которая Bash интерпретировала как замену команды и автоматически выполнила её. Поскольку при запуске set без параметров Bash выводит все текущие переменные окружения, в результате более 100 строк чувствительной информации (включая ключи Telegram, токены аутентификации и т. д.) были напрямую записаны в GitHub Issue и опубликованы публично.
GoPlus рекомендует в сценариях автоматизированной разработки или тестирования с использованием AI по возможности применять вызовы API вместо прямого составления Shell-команд, соблюдать принцип минимальных привилегий для изоляции переменных окружения, отключать режимы выполнения с высоким риском и вводить механизмы ручной проверки при выполнении критических операций.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Недавно выявленный вредонос EtherRAT, сочетающий кражу учетных данных и атаки на криптовалютные кошельки
Согласно исследователям LevelBlue SpiderLabs, EtherRAT — недавно выявленный вредоносный код — объединяет кражу учетных данных, удаленный доступ и атаки на криптовалютные кошельки в рамках одной скоординированной кампании. Вредоносный код распространяется через поддельные установщики Tftpd64, размещенные на мошеннических репозиториях GitHub, de
GateNews8м назад
Сотни бездействующих Ethereum-кошельков были выведены одним адресом
По данным ChainCatcher, сегодня (2 мая) один адрес вывел средства со счетов сотен кошельков Ethereum, бездействовавших более семи лет, рассказал криптоаналитик Wazz. Член команды Aragon @TheTakenUser подтвердил, что средства с его кошелька были переведены без разрешения. Причина инцидента
GateNews34м назад
Фонд Zcash выпускает Zebra 4.4.0, устраняя уязвимости уровня консенсуса в системе безопасности
Согласно Zcash Foundation, Zebra 4.4.0 была выпущена сегодня, устранив несколько уязвимостей уровня консенсуса и призвав всех операторов нод выполнить обновление немедленно. Среди уязвимостей — ошибка типа отказа в обслуживании, которая могла бы навсегда остановить обнаружение блоков, а также ошибки подсчёта sigops
GateNews2ч назад
Развертывание Wasabi Protocol в EVM столкнулось с инцидентом безопасности 30 апреля, сейчас ситуация локализована
Согласно официальному заявлению Wasabi Protocol, протокол столкнулся с инцидентом безопасности, затронувшим его развёртывание в EVM 30 апреля, который теперь полностью локализован. Развёртывание в Solana и Prop AMM остались без изменений. Проект закрыл векторы атак, выполнил ротацию учётных данных и ключей, и
GateNews3ч назад
Сотни кошельков Ethereum одновременно взломаны, активы переведены
Сотни кошельков Ethereum (ETH), включая некоторые неактивные более семи лет, были одновременно скомпрометированы в необычном событии транзакций в сети Ethereum, сообщают Coin Bureau и криптовалютное сообщество. Активы из затронутых кошельков были переведены на один и тот же адрес,
CryptoFrontier10ч назад
Ключи больше не единственная защита: Bitgo добавляет 5 уровней проверок
Bitgo продвигает безопасность цифровых активов дальше частных ключей, используя пятиуровневую модель транзакций, призванную остановить манипуляции до выполнения. Система проверяет намерение, устройство, личность, поведение и политику, нацеливаясь на риски до того, как транзакции будут окончательно оформлены.
Ключевые выводы:
Bitgo представила пять
Coinpedia12ч назад
