BlockBeats notícia, a 5 de março, a empresa de segurança Web3 GoPlus publicou que a ferramenta de desenvolvimento de IA OpenClaw foi recentemente exposta a um incidente de “auto-ataque” de segurança. Durante a execução de tarefas automatizadas, o sistema construiu comandos Bash incorretos ao chamar o comando Shell para criar uma Issue no GitHub, o que inadvertidamente acionou uma injeção de comandos, levando à divulgação de várias variáveis de ambiente sensíveis.
No incidente, a string gerada pela IA continha um set envolvido por crases, que foi interpretado pelo Bash como substituição de comando e executado automaticamente. Como o Bash, ao executar set sem argumentos, exibe todas as variáveis de ambiente atuais, isso resultou na escrita direta de mais de 100 linhas de informações sensíveis (incluindo chaves do Telegram, tokens de autenticação, etc.) na Issue do GitHub, tornando-as públicas.
A GoPlus recomenda que, em cenários de automação de IA para desenvolvimento ou testes, seja preferível usar chamadas de API em vez de concatenar comandos Shell diretamente, seguir o princípio de menor privilégio para isolar variáveis de ambiente, desativar modos de execução de alto risco e implementar mecanismos de revisão manual em operações críticas.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Os Desenvolvedores do Bitcoin Core Propõem o BIP-361 para Congelar 1,7M de BTC Antigos Contra as Ameaças da Computação Quântica
BIP-361, proposto por coautores incluindo Jameson Lopp, visa proteger o Bitcoin inicial ao migrar 1,7 milhões de moedas de endereços P2PK fracos para formatos mais robustos, permitindo 3-5 anos para os utilizadores antes de congelar as moedas não transferidas. As respostas da comunidade variam significativamente.
GateNews1h atrás
A CoW Swap recupera o domínio cow.fi após um ataque de engenharia social em 14 de abril
A CoW Swap recuperou o controlo do seu domínio cow.fi após um ataque de engenharia social ocorrido a 14 de abril. Os atacantes utilizaram documentos falsificados para manipular o registrador de DNS e implementar um site de phishing. Os utilizadores afetados pelo incidente são aconselhados a revogar as aprovações de transacções e a transferir fundos.
GateNews2h atrás
A Florida e Massachusetts recuperam em conjunto 5,4 milhões de dólares em ativos de fraude criptográfica
O Gabinete do Procurador-Geral da Florida e o Gabinete do Xerife do Condado de Marion recuperaram em conjunto 5,4 milhões de dólares em fundos de uma fraude com criptomoedas, envolvendo um esquema de investimento disfarçado de fraude romântica. Parte dos fundos já foi devolvida às vítimas na Florida e em Massachusetts, a CFEU, desde a sua criação, já recuperou um total de 7,2 milhões de dólares, estando ainda 12,6 milhões de dólares de ativos congelados. Massachusetts também levou a cabo várias ações de aplicação da lei, encerrando sites de fraude e recuperando fundos.
MarketWhisper4h atrás
Flórida e Massachusetts Recuperam 5,4 M$ em Ativos de Fraude Cripto a partir de um Esquema de Fraude por Romance
As autoridades na Flórida e em Massachusetts recuperaram 5,4 milhões de dólares em criptomoeda de fraude de investimento relacionada com burlas amorosas, tendo as vítimas recebido reembolsos parciais. Continuam os esforços contra a fraude em cripto, com ativos adicionais a ser contestados em tribunal.
GateNews5h atrás
O assalto mais disparatado do sector cripto? Um hacker cunha 1 000 milhões de USD em DOT, mas só rouba 230 000 USD
Os hackers exploraram uma vulnerabilidade da ponte cross-chain Hyperbridge para cunhar 1 000 000 000 de tokens Polkadot (DOT), com um valor nominal superior a 1190 milhões de dólares, mas devido à falta de liquidez, acabaram por só realizar cerca de 237 000 dólares. O ataque aconteceu porque o contrato inteligente não verificou corretamente as mensagens, permitindo que os hackers obtivessem com sucesso controlo administrativo e cunhassem tokens. O incidente destaca o papel crucial da liquidez do mercado no sucesso das operações de arbitragem.
CryptoCity18h atrás
Falsa aplicação Ledger Live rouba 9,5 milhões de dólares a partir de mais de 50 utilizadores em várias blockchains
Uma aplicação fraudulenta do Ledger Live na App Store da Apple roubou 9,5 milhões de dólares de mais de 50 utilizadores ao comprometer as informações das carteiras. O incidente, que envolve perdas significativas para investidores importantes, levanta preocupações sobre a segurança da App Store, suscitando discussões sobre um possível processo judicial contra a Apple.
GateNews19h atrás
