BlockBeats rapporte que le 5 mars, la société de sécurité Web3 GoPlus a publié un communiqué indiquant que l’outil de développement AI OpenClaw a récemment été victime d’un incident de sécurité de type « auto-attaque ». Lors de l’exécution de tâches automatisées, le système a construit une mauvaise commande Bash lors de l’appel à une commande Shell pour créer un problème sur GitHub, ce qui a accidentellement déclenché une injection de commande, exposant ainsi de nombreuses variables d’environnement sensibles.
Dans cet incident, la chaîne générée par l’IA contenait un set entouré de guillemets inversés, interprété par Bash comme une substitution de commande, qui a été exécutée automatiquement. Étant donné que Bash, lorsqu’il exécute set sans paramètres, affiche toutes les variables d’environnement actuelles, plus de 100 lignes d’informations sensibles (y compris des clés Telegram, des tokens d’authentification, etc.) ont été directement écrites dans le problème GitHub et rendues publiques.
GoPlus recommande que, dans les scénarios de développement ou de test automatisés avec l’IA, il faut privilégier l’utilisation d’appels API plutôt que de concaténer directement des commandes Shell, respecter le principe du moindre privilège en isolant les variables d’environnement, désactiver les modes d’exécution à haut risque, et introduire un mécanisme de revue humaine pour les opérations critiques.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le contrat GatewayEVM de ZetaChain exploité dans une attaque inter-chaînes, deuxième incident majeur ce mois-ci
Message de Gate News, 28 avril — ZetaChain, un réseau blockchain de couche 1, a révélé le 27 avril que son contrat GatewayEVM avait été visé dans une attaque inter-chaînes. GatewayEVM est un contrat intelligent inter-chaînes qui sert de passerelle à ZetaChain pour échanger des actifs et des messages avec des blockchains externes.
GateNewsIl y a 2h
Les astuces de fraude par deepfake : un développeur Cardano révèle un nouveau point faible
Un développeur de Cardano affirme qu’un appel vidéo deepfake d’IA réaliste a entraîné une compromission d’un ordinateur portable, rappelant que la prochaine vague d’attaques crypto pourrait commencer par des visages et des voix plutôt que par des smart contracts.
L’avertissement, partagé avec la communauté Cardano, décrit un incident dans lequel un imposteur a utilisé
DailyCoinIl y a 11h
Des procureurs français inculpent 88 personnes dans un réseau d’attaque par piratage de crypto
Les autorités françaises ont inculpé 88 personnes, dont 10 mineurs, dans le cadre d’enlèvements et d’extorsions visant des propriétaires de cryptomonnaies, selon une déclaration du Bureau national du ministère public pour la criminalité organisée (PNACO) publiée vendredi. Les poursuites sont liées à 12 enquêtes en cours
CryptoFrontierIl y a 13h
Lorsque la DeFi est trop lente pour les jeunes et trop risquée pour les vieilles fortunes : est-ce qu’on s’accroche tous au rendement des obligations d’État pour compenser le risque des obligations pourries ?
La DeFi a autrefois attiré les jeunes avec des APY à cinq chiffres, mais elle est désormais considérée comme trop chère et trop risquée. Au cours de la dernière année, plus de 1,62 milliard de dollars ont été volés ; Aave a vu son taux grimper jusqu’à 12,4 % à un moment. Le rendement équitable est d’environ 12,55 %, avec un seuil de 18 % pour les particuliers ; les institutions préfèrent une « caisse-forte d’isolation des stratégies » afin de réduire le risque de queue. Conclusion : l’effet de levier élevé n’est plus, et à l’avenir il faudra une tarification du risque plus élevée et des instruments d’assurance pour pouvoir accueillir à la fois les jeunes et les vieux capitaux.
ChainNewsAbmediaIl y a 17h
Robinhood met en garde contre des e-mails de phishing envoyés à certains clients
Message de Gate News, 27 avril — Robinhood a alerté des utilisateurs sur les réseaux sociaux que certains clients avaient reçu, dimanche soir dernier, des e-mails frauduleux prétendant provenir de noreply@robinhood.com avec pour objet « Your recent login to Robinhood. »
La tentative de phishing découlait d’un mauvais usage du processus de création de compte, et non d’une violation des systèmes de l’entreprise ni des comptes clients
GateNewsIl y a 17h
L’échange crypto Websea fait face à une arnaque de sortie présumée, les canaux de retrait sont fermés
Message de Gate News, 27 avril — La plateforme de trading de crypto Websea a suspendu les retraits et fermé ses canaux C2C (pair-à-pair), plusieurs utilisateurs déclarant que la bourse semble avoir mis en place une arnaque de sortie. La plateforme a d’abord restreint les retraits avant de fermer complètement le canal C2C,
GateNewsIl y a 18h
