OpenClaw 出现自我攻击漏洞：误执行 Bash 命令致密钥泄露

2026年03月05日,20时22分13秒加密货币阅读 3 views 次

比推消息，Web3 安全公司 GoPlus 发文称，AI 开发工具 OpenClaw 近日被曝出现一次自我攻击安全事件。在执行自动化任务时，系统在调用 Shell 命令创建 GitHub Issue 过程中构造了错误的 Bash 指令，意外触发命令注入，导致大量敏感环境变量被公开。

事件中，AI 生成的字符串包含反引号包裹的 set，被 Bash 解释为命令替换并自动执行。由于 Bash 在无参数执行 set 时会输出当前所有环境变量，最终导致超过 100 行敏感信息（包括 Telegram 密钥、认证 Token 等）被直接写入 GitHub Issue 并公开发布。

GoPlus 建议，在 AI 自动化开发或测试场景中，应尽量使用 API 调用替代直接拼接 Shell 命令，并遵循最小权限原则隔离环境变量，同时禁用高风险执行模式，并在关键操作中引入人工审核机制。

(来源:比推)

原文链接:https://x.com/GoPlusSecurity/status/2029533542896783518

说明: 比推所有文章只代表作者观点，不构成投资建议

相关新闻

没有相关文章

标签：google SEC 投资风险

版权说明：本文为转载文章，源于互联网,由程序alpha自动采集，于2026年03月05日最后更新
转载声明：OpenClaw 出现自我攻击漏洞：误执行 Bash 命令致密钥泄露 | 少数派报告 +复制链接

少数派报告-全球投资导向

我们将专门针对全球的经济政治状况，做最及时的分析与资讯共享。同时将对国内的市场做适度的点评，提供各类关键分析资讯我们的口号是：金钱永不眠！

weixin

产品与服务

关于我们

Privacy Policy · Terms of Service · Contact Us

Copyright © 2014-2022 少数派报告保留所有权利 (Registered:USA CA Fremont 94536)