BlockBeats rapporte que le 5 mars, la société de sécurité Web3 GoPlus a publié un communiqué indiquant que l’outil de développement AI OpenClaw a récemment été victime d’un incident de sécurité de type « auto-attaque ». Lors de l’exécution de tâches automatisées, le système a construit une mauvaise commande Bash lors de l’appel à une commande Shell pour créer un problème sur GitHub, ce qui a accidentellement déclenché une injection de commande, exposant ainsi de nombreuses variables d’environnement sensibles.
Dans cet incident, la chaîne générée par l’IA contenait un set entouré de guillemets inversés, interprété par Bash comme une substitution de commande, qui a été exécutée automatiquement. Étant donné que Bash, lorsqu’il exécute set sans paramètres, affiche toutes les variables d’environnement actuelles, plus de 100 lignes d’informations sensibles (y compris des clés Telegram, des tokens d’authentification, etc.) ont été directement écrites dans le problème GitHub et rendues publiques.
GoPlus recommande que, dans les scénarios de développement ou de test automatisés avec l’IA, il faut privilégier l’utilisation d’appels API plutôt que de concaténer directement des commandes Shell, respecter le principe du moindre privilège en isolant les variables d’environnement, désactiver les modes d’exécution à haut risque, et introduire un mécanisme de revue humaine pour les opérations critiques.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Les piratages crypto ont volé 17,1 milliards de dollars sur la décennie écoulée, sur 518 incidents
Message des actualités Gate News, 28 avril — Les pertes cumulées liées aux piratages de crypto sur la décennie écoulée ont atteint 17,1 milliards de dollars sur 518 incidents, d’après les données de ChainCatcher.
Les cinq dernières années ont représenté 15,2 milliards de dollars de pertes pour plus de 450 incidents, tandis que l’année passée a vu environ 2,5 milliards de dollars dérobés sur plus de 140 incidents. Cela indique une accélération de la fréquence des attaques par rapport à la décennie précédente.
Des analyses récentes montrent que les attaques crypto ont évolué, passant de l’exploitation de vulnérabilités de contrats intelligents à des attaques visant le vol de clés privées et les brèches de contrôle d’accès, ce qui représente un changement notable dans la méthode des attaquants.
GateNewsIl y a 4h
L’arnaque en crypto propulsée par l’IA vide l’épargne-retraite du senior ; le FBI signale $300K des pertes dues à la fraude en crypto pour 2025
Message de Gate News, 28 avril — Kyle Holder, une femme de 73 ans originaire de New York, a perdu la totalité de ses économies de retraite de 300 000 $ à cause d'une arnaque d'investissement en crypto pilotée par l'IA, qui a commencé en décembre 2024. Après avoir répondu à un message WhatsApp non sollicité faisant la promotion d'un cours d'investissement en crypto, elle a été mise en relation avec quelqu'un qui se faisait passer pour une mère célibataire nommée "Niamh" et pour une représentante du service client. En utilisant une tactique d'escroquerie classique de « pig butchering », les arnaqueurs ont aidé Holder à mettre en place des portefeuilles de crypto et ont d'abord affiché de faux gains afin de gagner sa confiance. En l'espace de deux mois, elle a transféré 300 000 $ sur 14 portefeuilles différents avant de découvrir l'escroquerie. L'IRS Criminal Investigation New York Field Office a retracé ces 14 adresses vers cinq portefeuilles qui détournaient environ million volé à plusieurs victimes. Les enquêteurs pensent que les criminels ont utilisé des outils d'IA disponibles sur le dark web pour collecter des informations personnelles et identifier des cibles vulnérables.
Le centre de signalement des délits sur Internet de la FBI (Internet Crime Complaint Center) a reçu 453 000 plaintes liées à la cybercriminalité en 2025, avec des pertes totales atteignant milliard. L'escroquerie liée aux cryptomonnaies était la catégorie la plus coûteuse, représentant milliard de pertes dans 181 565 plaintes. La FBI a identifié 22 364 plaintes liées à des outils d'IA, entraînant des pertes combinées de million. Dans une affaire distincte, lors d'une condamnation le 23 avril, la cour fédérale des îles Mariannes du Nord a condamné Sze Man Yu Inos à 71 mois de prison pour un schéma de fraude par virement bitcoin visant des femmes plus âgées à Saipan, à Guam, à Washington et en Californie, avec 769 355 $ de réparations ordonnées.
Le Département de la protection des consommateurs et des travailleurs de la ville de New York avertit que les indicateurs courants d'arnaques pilotées par l'IA incluent les contacts non sollicités, les messages créant l'urgence et les demandes de secret. La Federal Trade Commission souligne que toute entreprise qui demande des paiements en cryptomonnaies n'est pas légitime, et que des rendements d'investissement garantis en crypto constituent un signal d'alarme majeur. Les victimes peuvent signaler l'escroquerie via le portail IC3 de la FBI ou le site Report Fraud de la FTC ; un signalement précoce améliore les chances de retracer les fonds volés et d'identifier les auteurs.
GateNewsIl y a 5h
Les autorités françaises inculpent 88 personnes après la flambée des attaques violentes aux crypto « à la clé »
Message de Gate News, 28 avril — Les autorités françaises ont inculpé 88 personnes après une hausse des enlèvements violents liés aux crypto-monnaies, connus sous le nom de « wrench attacks » (attaques à la clé). Du nom d’une webbande xkcd populaire, les attaques à la clé impliquent des criminels utilisant la violence, l’intimidation ou la séquestration pour contraindre des détenteurs de crypto à révéler leurs clés privées ou leurs mots de passe, ou à les transmettre.
GateNewsIl y a 5h
ZetaChain suspend les transactions inter-chaînes après une attaque de contrat intelligent
Le réseau de couche 1 ZetaChain a suspendu les transactions inter-chaînes sur son mainnet après avoir identifié une attaque visant son contrat GatewayEVM, selon The Block. L’incident n’a touché que les portefeuilles internes de l’équipe ZetaChain, sans fonds utilisateurs affectés, a déclaré l’équipe. D’après les données de DefiLlama, $300,000
CryptoFrontierIl y a 7h
SUNX publie un avertissement contre l’usurpation frauduleuse et les stratagèmes de phishing
Message de Gate News, 28 avril — La plateforme de trading de dérivés SUNX a publié une déclaration officielle avertissant contre des plateformes contrefaites qui usurpent la marque. D’après l’annonce, des escrocs utilisent récemment des traductions chinoises non officielles telles que « 孙克斯 » (Sunke Si) et « 森克斯 » (Senke Si
GateNewsIl y a 8h
Des utilisateurs de Robinhood visés dans une attaque de phishing exploitant la fonctionnalité d’alias avec points de Gmail
Message des actualités Gate, 28 avril — Les utilisateurs de Robinhood ont récemment été victimes d’une attaque de phishing qui exploite la fonctionnalité d’ignorance des points de Gmail ainsi que des vulnérabilités dans le processus de création de compte de Robinhood. Les attaquants ont enregistré des comptes presque identiques aux adresses e-mail cibles, leur permettant de tromper les serveurs de messagerie de Robi
GateNewsIl y a 10h
