BlockBeats notícia, a 5 de março, a empresa de segurança Web3 GoPlus publicou que a ferramenta de desenvolvimento de IA OpenClaw foi recentemente exposta a um incidente de “auto-ataque” de segurança. Durante a execução de tarefas automatizadas, o sistema construiu comandos Bash incorretos ao chamar o comando Shell para criar uma Issue no GitHub, o que inadvertidamente acionou uma injeção de comandos, levando à divulgação de várias variáveis de ambiente sensíveis.
No incidente, a string gerada pela IA continha um set envolvido por crases, que foi interpretado pelo Bash como substituição de comando e executado automaticamente. Como o Bash, ao executar set sem argumentos, exibe todas as variáveis de ambiente atuais, isso resultou na escrita direta de mais de 100 linhas de informações sensíveis (incluindo chaves do Telegram, tokens de autenticação, etc.) na Issue do GitHub, tornando-as públicas.
A GoPlus recomenda que, em cenários de automação de IA para desenvolvimento ou testes, seja preferível usar chamadas de API em vez de concatenar comandos Shell diretamente, seguir o princípio de menor privilégio para isolar variáveis de ambiente, desativar modos de execução de alto risco e implementar mecanismos de revisão manual em operações críticas.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
ZachXBT denuncia Polyarb como um mercado de previsões falso com um drainer de carteira ativo
O investigador on-chain ZachXBT alertou que a Polyarb, um site que se apresenta como uma plataforma de mercado de previsão, está executando um drainer de carteiras ativo e está ganhando alcance por meio de contas cripto de destaque que respondem às suas publicações.
Principais destaques:
ZachXBT alertou em 4 de maio de 2026 que a Polyarb hospeda um ato
Coinpedia6m atrás
Cofundador da Solana alerta que a IA pode quebrar a criptografia pós-quântica no Breakpoint de 2026
De acordo com o cofundador da Solana, Anatoly Yakovenko, falando na conferência 2026 Solana Breakpoint em Amsterdã, a inteligência artificial representa uma ameaça existencial maior à segurança de blockchain do que os computadores quânticos. Yakovenko alertou que modelos de IA poderiam explorar padrões matemáticos sutis em po
GateNews4h atrás
Apreensão de 71 milhões de dólares após decisão de ataque da Coreia do Norte: ETH da Kelp DAO em Arbitrum “intervenção concentrada” vira argumento legal
Em 1º de maio, o Tribunal Distrital Sul de Nova York emitiu uma ordem de bloqueio que proíbe, antes da audiência de divisão, a movimentação de 30.766 ETH (cerca de US$ 71 milhões) para o plano de compensação da DeFi United. A origem do ETH foi o caso de invasão da ponte cross-chain da KelpDAO em abril; após o congelamento pelo Comitê de Segurança do Arbitrum, os fundos foram incorporados à governança da DAO. A compensação é financiada por captação de recursos como a do Aave, entre outras. Os autores afirmam que o hacker teria ligações com o grupo norte-coreano Lazarus Group, e o tribunal determinou que a decisão seja tomada após a audiência de divisão.
ChainNewsAbmedia6h atrás
Usuários do Wasabi Protocol Agora Podem Sacar com Segurança os Fundos Restantes
De acordo com o Wasabi Protocol, os usuários agora podem interagir com segurança com o contrato inteligente do protocolo para sacar os fundos restantes. A equipe disse que está continuando a investigar o incidente de segurança e compartilhará novas atualizações com a comunidade assim que as condições
GateNews9h atrás
PolyArb sinalizado como mercado de previsões falso com código para drenar carteiras
De acordo com o detetive on-chain ZachXBT, a PolyArb é um produto fraudulento de mercado de previsões, com código projetado para drenar carteiras embutido em seu site. A conta do projeto também fez comentários controversos em respostas a publicações de plataformas estabelecidas de mercado de previsões para gerar tráfego e atrair usuários, a
GateNews10h atrás
Bisq Protocol foi atacado, 11 BTC roubados em 4 de maio; plano de compensação em votação na DAO
De acordo com a Bisq, o protocolo foi atacado em 4 de maio devido à falta de mecanismos de verificação, resultando no roubo de aproximadamente 11 BTC, principalmente de negociações de altcoins. A plataforma está discutindo opções de compensação para os usuários afetados, que podem escolher entre reembolso em Bitcoin ou no token BSQ p
GateNews10h atrás
