コマ

Claude CodeのプロダクトマネージャーNoah Zwebenは、"/autofix-prがコマンドラインから直接自動修正を起動できるようになった"と投稿しました。"PRが完了したら、このコマンドを実行するだけです。これにより、あなたのセッションがクラウドにアップロードされ、PR自動修正ツールがCIの失敗やコメントを処理するための完全なコンテキストを取得できます。"

慢雾の監視によると、Apifox デスクトップクライアントはサプライチェーン攻撃に遭い、その公式 CDN がホスティングするフロントエンドスクリプトファイルに高度に難読化された悪意のある JavaScript コードが注入されました。影響を受けたユーザーは、認証情報の盗難、機密データの漏洩、リモートコマンドの実行などのリスクに直面する可能性があり、悪意のあるコードは自動的に実行され、高度に隠蔽されています。慢雾はユーザーに対し、すべてのトークンを直ちに取り消し、パスワードをリセットし、ログアウトして再ログインしてセッションを無効にし、*.apifox.it.com ドメインをブロックし、ローカルストレージをクリアし、API ログと異常な活動を確認することを推奨しています。

中国信通院と上海交通大学、南京大学の共同チームは、オープンソースの自律型インテリジェントフレームワークOpenClawのセキュリティ監査を行った際、bash-toolsモジュールにLLM駆動型コマンドインジェクションの高危険性の脆弱性が存在することを発見しました。この脆弱性は、システムがLLM生成のコマンドライン引数を厳密にエスケープしていないことに起因し、攻撃者は誘導的なPromptを通じて正規表現の防御を回避し、ホストマシン上でリモートコード実行を実現し、機密データを盗むことができます。研究チームは、さまざまな主流モデル環境での攻撃検証を完了し、責任ある脆弱性開示プロセスを開始し、NVDB人工知能製品セキュリティ脆弱性専門ライブラリ（CAIVD）およびGitHubコミュニティに修正提案を提出しました。

Web3 セキュリティ会社 GoPlus は、AI 開発ツール OpenClaw が最近自己攻撃のセキュリティ事件を起こしたと発表しました。自動化タスクを実行する際、システムが Shell コマンドを呼び出して GitHub Issue を作成する過程で誤った Bash 指令を構築し、意図せずコマンドインジェクションを引き起こし、大量のセンシティブな環境変数が公開されました。事件では、AI が生成した文字列にバッククォートで囲まれた set が含まれ、Bash によってコマンド置換として解釈され、自動的に実行されました。Bash が引数なしで set を実行すると、現在のすべての環境変数が出力されるため、最終的に 100 行以上のセンシティブな情報（Telegram キー、認証トークンなど）が直接 GitHub Issue に書き込まれ、公開されました。GoPlus は、AI 自動化開発やテストシーンでは、直接 Shell コマンドを結合するのではなく、API 呼び出しを使用することを推奨し、最小権限の原則に従って環境変数を隔離し、高リスク実行モードを無効にし、重要な操作には人間のレビュー機構を導入することを提案しています。

Bybit が孵化した初のオンチェーン DEX Byreal の創設者 emilyrealfreeman は、ソーシャルメディアで Byreal コマンドラインインターフェース（CLI）がオープンソース化されたことを発表しました。これは AI エージェントのために設計された最初のプロトコルインターフェースです。通常の API ラッパーやチャットボットインターフェースとは異なり、Byreal CLI はアーキテクチャの観点からプロトコルとマシンの相互作用を再定義し、決定的な実行、意図制約駆動の操作、ユーザーを理解することに焦点を当てたエージェント機能を提供し、システムを設計上より安全で信頼性の高いものにしています。Byreal CLI は AI エージェントに対して、アイデンティティ、ウォレット（資産管理）、および許可不要の実行環境という三つの基本的な原則を提供します。これら三つを同時にサポートできるのは暗号技術だけです。エージェントは単一のコマンドを通じて自由に発見、実行、学習することができ、流動性プール分析（APR 推定、リスクスコア、LP 範囲の提案）を一度に完了することができます。また、ドキュメントとインターフェースはすべて AI の実行のために設計されています。新機能 Copy Farmer により、エージェントはトップ流動性提供戦略を自動的にコピーすることができます。Byreal は、約 2 年以内に DeFi 取引量がフロントエンドインターフェースではなく AI エージェントを通じて流れるようになると考えており、エージェントのプロトコルを事前に最適化するプロジェクトがルーティング層で勝利し、追随しないプロトコルは忘れ去られるバックエンドシステムになる可能性があると述べています。

Polymarket の開発者 Suhail Kakar は X プラットフォームで、Polymarket CLI（コマンドラインインターフェース）をリリースしたと発表しました。これは AI エージェントが予測市場にアクセスする最も迅速な方法で、Rust で構築されています。ユーザーのエージェントは、ターミナルで直接市場を照会し、取引を行い、データを取得できます。

ChainCatcher のメッセージによると、The Block が報じたところでは、金融サービス会社 Guggenheim Treasury Services が Ripple の XRP Ledger 上にデジタル商業手形 (DCP) を導入し、機関投資家に分散型金融ネットワークを通じて短期債務ツールにアクセスする機会を提供することを発表しました。この製品はアメリカ国債によって支えられ、XRP Ledger の24時間取引、迅速な決済、低コスト取引の利点を活用します。協力の一環として、Ripple はこの DCP プロジェクトに1000万ドルを投資します。

ChainCatcher のメッセージによると、公式発表により、バイナンスは Doodles (DOOD) のエアドロップをサポートします。Mubarak (MUBARAK)、CZ'S Dog (BROCCOLI714)、Test (TST)、および Baby Doge Coin (1MBABYDOGE) の保有者は、バイナンスプラットフォームとバイナンスウォレットでエアドロップを受け取ります。条件を満たすユーザーは、バイナンスアカウントにエアドロップを受け取ります。バイナンスウォレットは、Koma Inu (KOMA) の保有者に対して Doodles (DOOD) のエアドロップをサポートします。条件を満たすユーザーは、バイナンスウォレットにエアドロップを受け取ります。

ChainCatcher のメッセージによると、The Block の報道では、X ユーザーがプラットフォーム上でミームコインを直接発行できるツール Bankrbot の開発チームがシステムを再調整し、Elon Musk の xAI が開発した AI モデル Grok のコマンドへの応答を停止したとのことです。これまでに、Grok と Bankrbot のインタラクションにより 17 のトークンが作成され、その中で最も注目を集めた DRB トークンの時価総額は一時 3000 万ドルを超えました。この事件は 3 月初旬に始まり、ユーザー @coin_domin が X プラットフォームで Grok に Bankrbot のトークン名の提案を求めた際に発生しました。Grok は "DebtReliefBot" (DRB) の作成を提案し、その後 Bankrbot はこのリクエストを実行し、Base ブロックチェーン上の自動トークンデプロイツール Clanker を通じてそのトークンを発行しました。オンチェーンデータの統計によると、Grok に関連するウォレットはこれらの取引から 50 万ドル以上の手数料を蓄積しています。Bankrbot の匿名の創設者は、そのウォレットがまもなくミリオネアの状態に達すると述べています。しかし、Grok が自身のウォレットを責任を持って管理し、資金を保護できないことへの懸念から、開発者は Grok コマンドへの応答メカニズムを切断することを決定しました。

ChainCatcher のメッセージによると、Scam Sniffer の監視により、攻撃者が偽の Cloudflare 認証ページを使用してクリップボード注入とコマンド実行を通じてマルウェアを展開していることがわかりました。

ChainCatcher のメッセージ、BNB Chain 上の犬テーマの Meme プロジェクト Koma が X プラットフォームで発表しました。24 時間以内に KOMA の総供給量の 5% を焼却し、価値は 590 万ドルに達します。

ChainCatcher のメッセージによると、FOX Business の上級記者チャールズ・ガスパリーノが報じたところによれば、ブラックロックはトランプ元大統領の暗殺者が同社の広告に出演していた件について声明を発表しました。声明では次のように述べています。「トランプ元大統領に対する暗殺未遂は許しがたいものです。私たちはトランプが重傷を負わなかったことを幸運に思い、この恐ろしい行為のすべての無実の目撃者や被害者、特に殺害された方々を思います。ブラックロックはあらゆる形の政治的暴力を強く非難し、国家の文明と団結を促進するために私たちの力を尽くします。2022年には、バートリー・パーク高校の教師を主役にした広告を放送しました。その中には、数人の無給の学生が背景に短時間登場しており、その中にはトーマス・マシュー・クルックスも含まれています。私たちは関係当局にすべての映像を提供し、被害者への敬意を表して動画をインターネットから削除しました。」

ChainCatcher のメッセージ、資産管理グループ VanEck が発表した19秒のビットコイン関連の新しい商業広告短編。以前、VanEck は米国 SEC にビットコイン現物 ETF の S-1 募集要項を提出しました。

ChainCatcher のメッセージによると、milksad.info チームは 7 月 21 日にビットコインの libbitcoin-explorer（コマンドラインツール bx）に「milk sad」という重大な脆弱性が存在することを発見したと発表しました。現在、GitHub ページにはこの脆弱性が本日修正され、「bx seed」コマンドが削除されたことが表示されています。「bx seed」ツールは、助記詞を生成する際にシステム時間のみをランダム性のソースとして使用するため、「bx seed」は約 40 億の助記詞のうちの 1 つしか生成できません。攻撃者はこの 40 億の助記詞を簡単に再生成できます。このチームは、「bx seed」エントロピーに基づく 2600 以上のアクティブなビットコインウォレットを発見しました。その中には 2018 年に類似の少額の預金がありました。Cake Wallet と Trust Wallet も同様の脆弱性があり、他のウォレットはこの脆弱性の影響を受けていません。この脆弱性は 5 月 3 日にハッカーによって悪用され、最も深刻な盗難は 7 月 12 日に発生し、合計 29.65 BTC が盗まれ、約 87 万ドルの価値がありました。この文書によると、少なくとも約 90 万ドルの盗まれた資産が移転されたとされています。また、BTC だけでなく、ETH、XRP、DOGE、SOL、LTC、BCH、ZEC トークンも盗まれたことが確認されています。この文書によると、技術的な脆弱性の詳細情報を Libbitcoin チームに送信した際、彼らは 2 回の返信でこれを脆弱性とは考えていないと述べました。また、「bx seed」は『Mastering Bitcoin』という書籍にも登場しており、この書籍は以前に「bx seed」が安全なランダム数を生成できないことについてユーザーに警告していませんでした。milksad チームはこの書籍の著者に修正を通知しました。

ChainCatcher のメッセージによると、SlowMist の情報で、Apache RocketMQ が深刻なセキュリティ警告を発表し、リモートコマンド実行の脆弱性（CVE-2023-37582）が公開され、現在 PoC がインターネット上で公開されており、攻撃の事例が発生しています。Apache RocketMQ は、オープンソースの分散メッセージおよびストリーム処理プラットフォームであり、スケーラブルな低遅延のメッセージおよびストリームデータ処理能力を提供し、非同期通信、アプリケーションのデカップリング、システム統合などのシナリオで広く使用されています。暗号通貨業界では、多くのプラットフォームがこの製品を使用してメッセージサービスを処理しているため、リスクに注意してください。脆弱性の説明：RocketMQ の NameServer コンポーネントが外部ネットワークに露出しており、効果的な認証メカニズムが欠如している場合、攻撃者は設定更新機能を利用して、RocketMQ が実行されているシステムユーザーの権限でコマンドを実行することができます。影響範囲：＜RocketMQ 4.9.7＜RocketMQ 5.1.2修正案：RocketMQ 4.x バージョンのユーザーは 4.9.7 以上にアップグレードしてください；RocketMQ 5.x バージョンのユーザーは 5.1.2 以上にアップグレードしてください。(出典リンク)

ChainCatcher のメッセージによると、technode が報じたところでは、ベトナムの NFT ソーシャルコマースプラットフォーム開発会社 Oxalus が 110 万ドルのシードラウンド資金調達を完了し、IDGCVB と Kyber Ventures が主導しました。新たな資金は、Oxalus プラットフォームのデータ開発を加速し、エンジニアリングチームの規模を拡大するために使用されます。Oxalus の NFT ソーシャルコマースプラットフォームは、ユーザーがオンラインでのインタラクションを行い、市場ニュースを把握し、NFT コレクションの購入と販売を行うことを可能にします。ユーザーはプラットフォーム上で直接コメント、いいね、フォロー、シェアを行い、クリエイティブなコンテンツを通じて自己表現をし、自分の NFT コレクションを管理することもできます。（出典リンク）

ChainCatcher のメッセージ、メタバース即サービス（MaaS）プラットフォーム Emperia が 1000 万ドルの A ラウンド資金調達を完了したと発表しました。出資者にはソニーイノベーションファンド（Sony Innovation Fund）、スタンフォードキャピタルパートナーズ（Stanford Capital Partners）、ベース10パートナーズ（Base10 Partners）、ダフィ（Daphi）、コンセプトベンチャーズ（Concept Ventures）、バックグラウンドキャピタル（Background Capital）などが含まれています。報告によると、Emperia が構築したメタバースプラットフォームは、リテール業界のブランドに没入型のバーチャルショッピング体験を提供し、メタバースストアを構築することができます。現在のパートナーにはブルーミングデールズ（Bloomingdales）、ディオール（Dior）、ラコステ（Lacoste）などの高級ブランドが含まれています。（出典リンク）

ChainCatcher のメッセージによると、The Block の報道で、Tether はその外貨準備金から 300 億ドルのコマーシャルペーパーを除外し、米国債に対して 100 億ドル以上の直接エクスポージャーを増加させたとのことです。最近数ヶ月、Tether はコマーシャルペーパーの保有量を減らすなどの方法で、外貨準備金の質を向上させる計画を示しているとのことです。（出典リンク）