BlockBeats сообщает, 5 марта, компания по безопасности Web3 GoPlus опубликовала заявление о том, что недавно инструмент для разработки AI OpenClaw был вовлечен в инцидент безопасности, связанный с «самоатакой». Во время выполнения автоматизированных задач система при вызове Shell-команды для создания GitHub Issue сформировала неправильную Bash-команду, что случайно вызвало инъекцию команд и привело к раскрытию большого количества чувствительных переменных окружения.
В случае инцидента строка, сгенерированная AI, содержала обратные кавычки, окружающие команду set, которая Bash интерпретировала как замену команды и автоматически выполнила её. Поскольку при запуске set без параметров Bash выводит все текущие переменные окружения, в результате более 100 строк чувствительной информации (включая ключи Telegram, токены аутентификации и т. д.) были напрямую записаны в GitHub Issue и опубликованы публично.
GoPlus рекомендует в сценариях автоматизированной разработки или тестирования с использованием AI по возможности применять вызовы API вместо прямого составления Shell-команд, соблюдать принцип минимальных привилегий для изоляции переменных окружения, отключать режимы выполнения с высоким риском и вводить механизмы ручной проверки при выполнении критических операций.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
ZetaChain приостанавливает кроссчейн-транзакции, смарт-контракт GatewayEVM подвергся атаке
28 апреля, согласно официальному объявлению ZetaChain и его официальной странице статуса, сеть уровня 1 для межсетевого взаимодействия ZetaChain приостановила кроссчейн-транзакции в основной сети после того, как стало известно об атаке на смарт-контракт GatewayEVM. В своем заявлении ZetaChain подтвердила, что данная атака затрагивает только внутренние кошельки команды ZetaChain, и на данный момент средства пользователей не пострадали.
MarketWhisper47м назад
Контракт GatewayEVM ZetaChain был использован в кроссчейн-атаке; это второй крупный инцидент в этом месяце
Сообщение Gate News, 28 апреля — ZetaChain, сеть блокчейна уровня 1, 27 апреля раскрыла, что ее контракт GatewayEVM был атакован в кроссчейн-атаке. GatewayEVM — это кроссчейн-смарт-контракт, который служит шлюзом для ZetaChain, чтобы обмениваться активами и сообщениями с внешними блокчейнами.
GateNews3ч назад
Мошеннические приемы с дипфейками в арсенале со стороны разработчика Cardano раскрывают новую уязвимость
Разработчик Cardano говорит, что реалистичный AI-дипфейк видеозвонок привёл к взлому ноутбука — напоминание о том, что следующая волна криптоатак может начинаться с лиц и голосов, а не с умных контрактов.
Предупреждение, опубликованное для сообщества Cardano, описывает инцидент, в котором мошенник использовал
DailyCoin12ч назад
Французские прокуроры предъявили обвинения 88 участникам преступной группировки, причастной к атаке с использованием криптокражи
Французские власти предъявили обвинения 88 лицам, включая 10 несовершеннолетних, в связи с похищениями людей и вымогательствами, направленными против владельцев криптовалюты, согласно заявлению Национальной публичной прокуратуры по организованной преступности (PNACO), опубликованному в пятницу. Обвинения связаны с 12 продолжающимися
CryptoFrontier14ч назад
Когда DeFi слишком медленный для молодых людей и слишком рискованный для старых денег: мы все держим проценты по гособлигациям, принимая риск мусорных облигаций?
DeFi раньше привлекал молодых людей доходностью с пятизначным APY, теперь его считают чрезмерно завышенным по цене и с чрезмерно высоким риском. За последний год было украдено более 16.2 млрд долларов, а у Aave однажды ставка взлетала до 12.4%. Справедливая доходность составляет около 12.55%, порог для розничных клиентов — 18%, а институциональные игроки предпочитают «стратегическое обособление казначейства», чтобы снизить риск хвостовых событий. Вывод: высокое кредитное плечо больше не актуально; в будущем нужны более высокие цены за риск и инструменты страхования, чтобы одновременно вмещать и молодых, и старые деньги.
ChainNewsAbmedia18ч назад
Robinhood предостерегает о фишинговых письмах, отправленных некоторым клиентам
Сообщение Gate News от 27 апреля — Robinhood предупредил пользователей в соцсетях о том, что некоторые клиенты получили в прошлое воскресенье вечером мошеннические письма, выдававшие себя за отправленные с noreply@robinhood.com, с темой "Your recent login to Robinhood."
Мошенническая попытка стала следствием неправомерного использования процесса создания аккаунта, а не взлома систем компании или клиентских учетных записей. Robinhood подтвердил, что личная информация и средства клиентов не пострадали.
Компания посоветовала пользователям, получившим такие письма, немедленно удалить их и не нажимать ни на какие подозрительные ссылки.
GateNews18ч назад
