3月5日,Web3安全公司GoPlus披露,AI开发工具OpenClaw发生一起“自我攻击”安全事件。系统在执行自动化任务、调用Shell命令创建GitHub Issue时,因构造了错误的Bash指令,意外触发命令注入。

事件详情

  • AI生成的字符串包含被反引号包裹的set命令。
  • Bash将其解释为命令替换并自动执行。由于set在无参数时会输出所有环境变量,导致超过100行敏感信息(包括Telegram密钥、认证Token等)被直接写入并公开发布至GitHub Issue。

安全建议

  • 在AI自动化开发或测试中,优先使用API调用,避免直接拼接Shell命令。
  • 遵循最小权限原则隔离环境变量。
  • 禁用高风险执行模式,并在关键操作中引入人工审核机制。

🔥 实时行情点位,群内抢先看!

进群蹲精准做单提示→青岚免费交易社群 (电报)

以上仅为青岚姐个人观点,不作为投资建议,交易需谨慎|本文由青岚加密课堂整理优化