coin-img-ETHETH-2.33%coin-img-BTCBTC-2.00%coin-img-SOLSOL-3.10%coin-img-XRPXRP-2.43%coin-img-XAUTXAUT-0.88%coin-img-TAATAA-76.43%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-3.27%coin-img-ETHETH-2.33%coin-img-BTCBTC-2.00%coin-img-SOLSOL-3.10%coin-img-XRPXRP-2.43%coin-img-XAUTXAUT-0.88%coin-img-TAATAA-76.43%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-3.27%coin-img-ETHETH-2.33%coin-img-BTCBTC-2.00%coin-img-SOLSOL-3.10%coin-img-XRPXRP-2.43%coin-img-XAUTXAUT-0.88%coin-img-TAATAA-76.43%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-3.27%coin-img-ETHETH-2.33%coin-img-BTCBTC-2.00%coin-img-SOLSOL-3.10%coin-img-XRPXRP-2.43%coin-img-XAUTXAUT-0.88%coin-img-TAATAA-76.43%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-3.27%

GoPlus раскрыла уязвимость инъекции Bash в OpenClaw, приведшую к утечке конфиденциальных ключей на GitHub

Компания по кибербезопасности Web3 GoPlus сообщила об уязвимости в своем инструменте разработки с ИИ OpenClaw, сообщает ChainCatcher. Автоматизированная задача построила некорректную команду Bash при вызове Shell-команды для открытия GitHub Issue, что привело к инъекции команды и раскрытию более 100 строк конфиденциальных переменных окружения, включая ключи Telegram и токены аутентификации. Сгенерированная ИИ строка содержала команду `set` в обратных кавычках, которую Bash интерпретировал как подстановку команды и выполнил автоматически, в результате чего вывод `set` был записан и опубликован в открытом GitHub Issue. GoPlus рекомендует использовать API-вызовы вместо прямой конкатенации Shell-команд в автоматизации с ИИ, изолировать переменные окружения по модели минимальных привилегий, отключать режимы высокорискованного выполнения и добавлять этап ручной проверки для критических действий.
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.