BlockBeats rapporte que le 5 mars, la société de sécurité Web3 GoPlus a publié un communiqué indiquant que l’outil de développement AI OpenClaw a récemment été victime d’un incident de sécurité de type « auto-attaque ». Lors de l’exécution de tâches automatisées, le système a construit une mauvaise commande Bash lors de l’appel à une commande Shell pour créer un problème sur GitHub, ce qui a accidentellement déclenché une injection de commande, exposant ainsi de nombreuses variables d’environnement sensibles.
Dans cet incident, la chaîne générée par l’IA contenait un set entouré de guillemets inversés, interprété par Bash comme une substitution de commande, qui a été exécutée automatiquement. Étant donné que Bash, lorsqu’il exécute set sans paramètres, affiche toutes les variables d’environnement actuelles, plus de 100 lignes d’informations sensibles (y compris des clés Telegram, des tokens d’authentification, etc.) ont été directement écrites dans le problème GitHub et rendues publiques.
GoPlus recommande que, dans les scénarios de développement ou de test automatisés avec l’IA, il faut privilégier l’utilisation d’appels API plutôt que de concaténer directement des commandes Shell, respecter le principe du moindre privilège en isolant les variables d’environnement, désactiver les modes d’exécution à haut risque, et introduire un mécanisme de revue humaine pour les opérations critiques.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
L’exploiteur de KelpDAO emprunte $195M ETH à Aave, le TVL chute de 6,28 Md$ après le retrait des baleines
Message de Gate News : l’exploiteur de KelpDAO a emprunté plus de 82 600 ETH ($195M) à Aave en utilisant RSETH comme garantie, ce qui a entraîné l’apparition de créances douteuses sur Aave. Suite à cet incident, de nombreux baleines ont retiré des fonds d’Aave, faisant chuter son TVL de 26,396 Md$ à 20,114 Md$, soit une baisse de 6,28 Md$.
GateNewsIl y a 1h
Le cofondateur de Monad suggère des plafonds dynamiques sur les dépôts de garanties pour réduire les risques de piratage
Keone Hon suggère que les protocoles de prêt mutualisé devraient mettre en place des limites de taux progressives sur l’augmentation des actifs en garantie afin d’atténuer les risques lors des piratages. Il affirme que cela aurait pu éviter des pertes importantes, comme on l’a vu avec les déposants de rsETH.
GateNewsIl y a 4h
La police de Hong Kong met en garde contre l’arnaque crypto « trading quantitatif par IA », une femme perd 7,7 millions de HK$
La police de Hong Kong a révélé une fraude en cryptomonnaies dans laquelle une femme a perdu 7,7 millions de HK$ au profit d’escrocs se faisant passer pour des experts en investissement via Telegram, promettant de hauts rendements grâce au trading avec IA. La police a mis le public en garde contre les risques liés aux investissements en cryptomonnaies.
GateNewsIl y a 5h
Morpho interrompt le pont inter-chaînes OFT MORPHO sur Arbitrum après des événements impliquant Kelp DAO et LayerZero
L’Association Morpho a suspendu temporairement le pont inter-chaînes OFT pour les jetons MORPHO sur Arbitrum en raison de problèmes récents impliquant Kelp DAO et le pont LayerZero, en attendant la confirmation de la cause de l’incident rsETH.
GateNewsIl y a 6h
Kamino suspend les interactions d’actifs liés à LayerZero, ferme les fonctions de dépôt et de prêt
Kamino a temporairement suspendu les interactions avec des jetons liés à LayerZero par mesure de précaution, tout en autorisant les retraits et les remboursements de dettes. Ils soulignent que cette mesure vise la gestion des risques et que les fonds des utilisateurs sont en sécurité.
GateNewsIl y a 10h
Kelp DAO piraté pour 292 millions de dollars : une attaque par messages falsifiés vise le pont inter-chaînes de LayerZero, devenant le plus grand événement DeFi de 2026
Kelp DAO a été piraté le 19 avril. L’attaquant, via le pont inter-chaînes LayerZero, a falsifié des messages, libérant 116,500 unités de rsETH, pour un préjudice d’environ 2.92 milliards de dollars, devenant l’événement DeFi le plus important de 2026. Cet incident met en évidence des failles de sécurité des ponts inter-chaînes, provoquant une réaction brutale du marché, et les protocoles concernés ont également gelé leurs actifs en urgence, avec un risque accru de liquidation.
ChainNewsAbmediaIl y a 12h
