coin-img-ETHETH-2.41%coin-img-BTCBTC-1.93%coin-img-SOLSOL-3.09%coin-img-XRPXRP-2.45%coin-img-XAUTXAUT-0.80%coin-img-TAATAA-78.73%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-3.25%coin-img-ETHETH-2.41%coin-img-BTCBTC-1.93%coin-img-SOLSOL-3.09%coin-img-XRPXRP-2.45%coin-img-XAUTXAUT-0.80%coin-img-TAATAA-78.73%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-3.25%coin-img-ETHETH-2.41%coin-img-BTCBTC-1.93%coin-img-SOLSOL-3.09%coin-img-XRPXRP-2.45%coin-img-XAUTXAUT-0.80%coin-img-TAATAA-78.73%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-3.25%coin-img-ETHETH-2.41%coin-img-BTCBTC-1.93%coin-img-SOLSOL-3.09%coin-img-XRPXRP-2.45%coin-img-XAUTXAUT-0.80%coin-img-TAATAA-78.73%coin-img-USDCUSDC+0.00%coin-img-DOGEDOGE-3.25%

GoPlus 披露 OpenClaw 自攻擊 Bash 注入漏洞致敏感環境密鑰洩漏至 GitHub

據 ChainCatcher 報道,Web3 安全公司 GoPlus 披露其 AI 開發工具 OpenClaw 存在自攻擊安全問題,一項自動化任務在調用 Shell 命令打開 GitHub Issue 時構建了錯誤的 Bash 指令,導致命令注入漏洞暴露大量敏感環境變量。該事件中,AI 生成的字符串包含反引號包裹的 `set` 命令,Bash 將其視為命令替換並自動執行,導致超過 100 行環境數據(包括 Telegram 密鑰和身份驗證令牌)被未經參數化的 `set` 輸出寫入並公開發布於 GitHub Issue。GoPlus 建議 AI 驅動的自動化或測試工作流程優先使用 API 調用而非直接拼接 Shell 命令,在最小權限模型下隔離環境變量,禁用高風險執行模式,並為關鍵操作添加人工審查步驟。
免責聲明:以上內容均來源自第三方觀點,不代表 BingX 的立場,亦不構成任何財務建議。詳情請參閱《使用條款》