BlockBeats notícia, a 5 de março, a empresa de segurança Web3 GoPlus publicou que a ferramenta de desenvolvimento de IA OpenClaw foi recentemente exposta a um incidente de “auto-ataque” de segurança. Durante a execução de tarefas automatizadas, o sistema construiu comandos Bash incorretos ao chamar o comando Shell para criar uma Issue no GitHub, o que inadvertidamente acionou uma injeção de comandos, levando à divulgação de várias variáveis de ambiente sensíveis.

No incidente, a string gerada pela IA continha um set envolvido por crases, que foi interpretado pelo Bash como substituição de comando e executado automaticamente. Como o Bash, ao executar set sem argumentos, exibe todas as variáveis de ambiente atuais, isso resultou na escrita direta de mais de 100 linhas de informações sensíveis (incluindo chaves do Telegram, tokens de autenticação, etc.) na Issue do GitHub, tornando-as públicas.

A GoPlus recomenda que, em cenários de automação de IA para desenvolvimento ou testes, seja preferível usar chamadas de API em vez de concatenar comandos Shell diretamente, seguir o princípio de menor privilégio para isolar variáveis de ambiente, desativar modos de execução de alto risco e implementar mecanismos de revisão manual em operações críticas.

Ver fonte

Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o Aviso Legal.

Kelp acusa a LayerZero por exploração de US$ 292 milhões e planeja mudar para a Chainlink

Progresso do projeto Ações de fiscalização Incidentes de segurança

De acordo com o comunicado do Kelp DAO na terça-feira, o protocolo responsabilizou a LayerZero por aprovar uma configuração arriscada que permitiu um exploit de US$ 292 milhões em 18 de abril. O Kelp disse que pessoas da LayerZero aprovaram uma configuração de verificador 1-de-1—dependendo de uma única entidade para validar transações entre cadeias—sem

GateNews3h atrás

Do Kwon Condenado a 15 Anos nos EUA, Colapso da Terra Desencadeou Perdas de Mais de US$ 40 bilhões

Ações de fiscalização Incidentes de segurança

De acordo com a Digital Asset, Do Kwon, fundador da Terraform Labs, foi condenado a 15 anos de prisão por um juiz federal dos EUA em 12 de dezembro de 2024, por acusações de fraude e lavagem de dinheiro. Espera-se que Kwon cumpra aproximadamente seis anos antes de uma possível extradição para a Coreia do Sul, após um

GateNews7h atrás

Bubblemaps: Token MYSTERY apresenta sinais de controle concentrado, 90 carteiras detêm 90% do fornecimento no lançamento

Incidentes de segurança Dados on-chain

De acordo com a plataforma de análise on-chain Bubblemaps, o token MYSTERY apresentou sinais de controle concentrado no lançamento, com a plataforma o descrevendo como um “golpe de livro-texto”. A Bubblemaps revelou que cerca de 90 carteiras acumularam aproximadamente 90% da oferta do token no lançamento e que têm sido

GateNews9h atrás

Atacantes do Wasabi Protocol transferem US$ 5,9 milhões em fundos roubados para o Tornado Cash em 5 de maio

Ações de fiscalização Incidentes de segurança Dados on-chain

De acordo com o analista on-chain Specter, os atacantes do protocolo Wasabi transferiram aproximadamente US$ 5,9 milhões em fundos roubados para o Tornado Cash em 5 de maio, concluindo uma operação centralizada de mistura de moedas. Os recursos seguem um caminho de transferência complexo em múltiplas etapas, envolvendo invasões anteriores na KelpDAO e

GateNews13h atrás

Comentário

0/400

Sem comentários