OpenClaw 出现自我攻击漏洞,误执行 Bash 命令致密钥泄露

By: rootdata|2026/03/05 12:45:14
0
分享
copy

ChainCatcher 消息,Web3 安全公司 GoPlus 发文称,AI 开发工具 OpenClaw 近日被曝出现一次自我攻击安全事件。在执行自动化任务时,系统在调用 Shell 命令创建 GitHub Issue 过程中构造了错误的 Bash 指令,意外触发命令注入,导致大量敏感环境变量被公开。

事件中,AI 生成的字符串包含反引号包裹的 set,被 Bash 解释为命令替换并自动执行。由于 Bash 在无参数执行 set 时会输出当前所有环境变量,最终导致超过 100 行敏感信息(包括 Telegram 密钥、认证 Token 等)被直接写入 GitHub Issue 并公开发布。GoPlus 建议,在 AI 自动化开发或测试场景中,应尽量使用 API 调用替代直接拼接 Shell 命令,并遵循最小权限原则隔离环境变量,同时禁用高风险执行模式,并在关键操作中引入人工审核机制。

猜你喜欢

早报|SK 海力士正式启动美股上市营销推介流程;中央网信办公布整治 AI 应用乱象首阶段成果,累计处置超 1.4 万款违规产品

7 月 6 日 市场重要事件一览

Open USD 能支撑 Stripe 的野心吗?

Stripe 携手多方推出 OUSD,不仅挑战 USDC 霸主地位,更暴露其从“支付接口”迈向“下一代资金结算网络”的万亿级野心

Blockchain Capital 合伙人:AI 正在重写劳动的基本单位

AI 的崛起,正在把劳动的基本单位从"岗位"和"公司"改写成"任务"。当可编程劳动力遇上可编程货币,一条没有公司、没有薪酬体系、没有 HR 的生产流水线第一次成为可能。

加密行业已是传统行业

对于还留在这个行业里的创业者和散户,要不就去拥抱当下的变化,要不就去探索加密里下一个充满随机性的领域。

芯片狂欢降温?大摩 Wilson:资金正转向微软、亚马逊等 AI 超算巨头

大摩首席股票策略师 Wilson 指出,半导体板块动能衰竭,费城半导体指数较高点已跌近 14%,资金正转向微软、亚马逊、Meta 等 AI 超算巨头及消费、生物科技等板块;标普 500 年底目标价维持8000 点,仍有约 7% 空间,但短期承压,轮动逻辑获摩根大通策略师呼应。

早报|Vitalik 发文概述以太坊长期路线图,Lean Ethereum 将成第三次重大迭代;SK 海力士寻求通过在美上市,以吸引更多 AI 投资者

7 月 5 日 市场重要事件一览

热门币种

最新加密货币要闻

阅读更多
iconiconiconiconiconicon
客户服务:@weikecs
商务合作:@weikecs
量化做市商合作:[email protected]