coin-img-ETHETH-2.24%coin-img-BTCBTC-2.03%coin-img-SOLSOL-2.86%coin-img-XRPXRP-2.76%coin-img-XAUTXAUT-0.94%coin-img-TAATAA-77.47%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-4.36%coin-img-ETHETH-2.24%coin-img-BTCBTC-2.03%coin-img-SOLSOL-2.86%coin-img-XRPXRP-2.76%coin-img-XAUTXAUT-0.94%coin-img-TAATAA-77.47%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-4.36%coin-img-ETHETH-2.24%coin-img-BTCBTC-2.03%coin-img-SOLSOL-2.86%coin-img-XRPXRP-2.76%coin-img-XAUTXAUT-0.94%coin-img-TAATAA-77.47%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-4.36%coin-img-ETHETH-2.24%coin-img-BTCBTC-2.03%coin-img-SOLSOL-2.86%coin-img-XRPXRP-2.76%coin-img-XAUTXAUT-0.94%coin-img-TAATAA-77.47%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-4.36%

GoPlus revela vulnerabilidad de inyección Bash en OpenClaw que expuso claves sensibles en GitHub

La firma de seguridad Web3 GoPlus reveló una vulnerabilidad de autoataque en su herramienta de desarrollo de IA OpenClaw, informó ChainCatcher. Una tarea automatizada construyó un comando Bash incorrecto al llamar un comando Shell para abrir un GitHub Issue, lo que provocó una inyección de comando que expuso numerosas variables de entorno sensibles. La cadena generada por IA incluyó un comando `set` envuelto en backticks que Bash interpretó como sustitución de comando y ejecutó automáticamente, haciendo que la salida no parametrizada de `set` —más de 100 líneas de datos de entorno, incluidas claves de Telegram y tokens de autenticación— se escribiera y publicara públicamente en un GitHub Issue. GoPlus recomienda que los flujos de trabajo de automatización o pruebas impulsados por IA prioricen llamadas API en lugar de concatenación directa de comandos Shell, mantengan las variables de entorno aisladas bajo un modelo de mínimo privilegio, deshabiliten modos de ejecución de alto riesgo y agreguen pasos de revisión humana para acciones críticas.
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.