BlockBeats Nachrichten, am 5. März gab das Web3-Sicherheitsunternehmen GoPlus bekannt, dass das KI-Entwicklungstool OpenClaw kürzlich einen Sicherheitsvorfall mit „Selbstangriff“ erlitten hat. Während automatisierter Aufgaben wurde bei der Erstellung eines GitHub-Issues durch den Systemaufruf eines Shell-Befehls ein fehlerhafter Bash-Befehl konstruiert, der versehentlich eine Befehinsinjektion auslöste und dazu führte, dass viele sensible Umgebungsvariablen offengelegt wurden.
Im Vorfall enthielt die von der KI generierte Zeichenkette eine mit Backticks umschlossene set-Anweisung, die von Bash als Befehlssubstitution interpretiert und automatisch ausgeführt wurde. Da Bash beim Ausführen von set ohne Parameter alle aktuellen Umgebungsvariablen ausgibt, wurden schließlich mehr als 100 Zeilen sensibler Informationen (einschließlich Telegram-Schlüssel, Authentifizierungstoken usw.) direkt in das GitHub-Issue geschrieben und öffentlich gemacht.
GoPlus empfiehlt, in Szenarien der KI-automatisierten Entwicklung oder Tests möglichst API-Aufrufe anstelle direkter Verkettung von Shell-Befehlen zu verwenden, das Prinzip der minimalen Rechte bei der Isolierung von Umgebungsvariablen zu befolgen, Hochrisikobefehle zu deaktivieren und bei kritischen Vorgängen manuelle Überprüfungen einzuführen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Französische Behörden klagen 88 an wegen eines Anstiegs gewalttätiger Krypto-„Schraubenschlüssel-Angriffe“
Gate News-Meldung, 28. April — Französische Behörden haben 88 Personen angeklagt, nachdem es zu einem Anstieg gewalttätiger, mit Krypto verbundener Entführungen gekommen ist, die als „Schraubenschlüssel-Angriffe“ bekannt sind. Benannt nach einem beliebten xkcd-Webcomic, beinhalten Schraubenschlüssel-Angriffe, dass Kriminelle Gewalt, Einschüchterung oder Inhaftierung einsetzen, um Krypto-Besitzer dazu zu zwingen, ihre privaten Schlüssel oder Passwörter zu offenbaren.
GateNews35M her
ZetaChain stoppt grenzüberschreitende Transaktionen nach einem GatewayEVM-Angriff
Das Layer-1-Netzwerk ZetaChain hat den grenzüberschreitenden Transaktionsverkehr auf seinem Mainnet nach einem Angriff auf seinen GatewayEVM-Contract pausiert, wie die Team-Ankündigung berichtet. Der Angriff betraf nur interne ZetaChain-Team-Wallets, und es wurden keine Nutzerfonds betroffen. Stand 21:00 Uhr ET am Montag, grenzüberschreitende Transac
CryptoFrontier2Std her
SUNX warnt vor betrügerischer Imitation und Phishing-Geschäften
Gate News Nachricht, 28. April — Die Derivate-Handelsplattform SUNX hat eine offizielle Stellungnahme veröffentlicht und vor nachgemachten Plattformen gewarnt, die die Marke imitieren. Laut der Bekanntmachung haben Betrüger in letzter Zeit inoffizielle chinesische Übersetzungen wie „孙克斯“ (Sunke Si) und „森克斯“ (Senke S verwendet
GateNews3Std her
Robinhood-Nutzer von Phishing-Angriff ins Visier genommen, der Gmails Punktalias-Funktion ausnutzt
Gate News-Nachricht, 28. April — Nutzer von Robinhood sind kürzlich Opfer eines Phishing-Angriffs geworden, der die von Gmail ignorierte Punktfunktion sowie Schwachstellen im Kontoerstellungsprozess von Robinhood ausnutzt. Angreifer registrierten Konten, die den Ziel-E-Mail-Adressen nahezu identisch waren, sodass sie Robi
GateNews5Std her
ZachXBT stellt WorldCoins WLD-Launch mit geringer Umlaufmenge und hoher Bewertung infrage und weist auf Insider-Verkäufe hin
Gate News-Mitteilung, 28. April — Der On-Chain-Detektiv ZachXBT behauptete, dass WorldCoin (now World), ein von Sam Altman gegründetes Unternehmen, WLD-Token mit geringer Umlaufmenge und hoher Bewertung auf den Markt gebracht habe und damit das Modell nachahme, das von SBF und FTX verwendet wurde. Laut ZachXBT verteilte das Unternehmen kleine Mengen an WLD an uns
GateNews5Std her
ZetaChain stoppt Cross-Chain-Transaktionen, der GatewayEVM-Smart-Contract wurde angegriffen
28. April, laut dem offiziellen ZetaChain-Announcement und seiner offiziellen Statusseite, hat das Layer-1-Interoperabilitätsnetzwerk ZetaChain die Cross-Chain-Transaktionen im Mainnet ausgesetzt, nachdem es einen Angriff auf den GatewayEVM-Smart-Contract festgestellt hatte. ZetaChain bestätigte in seiner Erklärung, dass dieser Angriff ausschließlich die internen Geldbörsen des ZetaChain-Teams betrifft und derzeit keine Benutzergelder betroffen sind.
MarketWhisper7Std her
