Исследователи безопасности обнаружили шесть критических уязвимостей в опенсорсном фреймворке для ИИ-агентов OpenClaw. Уязвимости, включая SSRF и обход аутентификации, были выявлены движком SAST на базе ИИ от Endor Labs. Разработчики OpenClaw уже выпустили исправления. — csoonline.com
Исследователи в области безопасности обнаружили шесть уязвимостей от средних до критических в опенсорсном фреймворке для ИИ-агентов OpenClaw, который широко известен как «социальная сеть для ИИ-агентов». Уязвимости были обнаружены компанией Endor Labs в ходе тестирования платформы с помощью движка статического анализа безопасности приложений (SAST) на базе ИИ, предназначенного для отслеживания фактического перемещения данных через программное обеспечение агентных ИИ.
Ошибки охватывают несколько категорий веб-безопасности, включая подделку запросов на стороне сервера (SSRF), отсутствие аутентификации веб-хуков, обход аутентификации и обход каталогов, затрагивая сложную агентную систему, которая объединяет большие языковые модели (LLM) с выполнением инструментов и внешними интеграциями.
Исследователи также опубликовали рабочие эксплойты для каждой из уязвимостей, подтвердив возможность их использования в реальных условиях. OpenClaw опубликовала исправления и уведомления о безопасности по этим проблемам.
Уязвимости включают пути SSRF, обход аутентификации и выход из файлов
В отчете Endor Labs шесть уязвимостей OpenClaw были охарактеризованы по типу слабости и индивидуальной степени серьезности, а не по идентификаторам CVE.
Несколько проблем представляют собой ошибки SSRF, затрагивающие различные инструменты, в том числе компонент шлюза (CVSS 7.6), который принимает URL-адреса, предоставленные пользователем, для установки исходящих WebSocket-соединений. Две другие уязвимости включали SSRF в аутентификации Urbit (CVSS 6.5) и SSRF в инструменте обработки изображений (CVSS 7.6). Эти пути SSRF были оценены как уязвимости средней и высокой степени серьезности, поскольку они могли позволить доступ к внутренним службам или конечным точкам метаданных облака, в зависимости от развертывания.
Сбои в управлении доступом составили еще одну группу обнаруженных проблем. Обработчик веб-хуков «Telnyx», предназначенный для получения внешних событий, не имел надлежащей проверки веб-хуков (CVSS 7.5), что позволяло подделывать запросы из недоверенных источников. Отдельно, обход аутентификации (CVSS 6.5) позволил неаутентифицированным пользователям вызывать защищенную функциональность веб-хука «Twilio» без действительных учетных данных.
В отчете также подробно описана уязвимость обхода каталогов (CVSS не назначен) при обработке загрузки из браузера, где недостаточная очистка путей к файлам могла привести к записи за пределами предполагаемых каталогов.
«Комбинация анализа на базе ИИ и систематической ручной проверки обеспечивает практический путь вперед для защиты инфраструктуры ИИ», — заявили исследователи. «Поскольку фреймворки ИИ-агентов становятся все более распространенными в корпоративных средах, анализ безопасности должен развиваться, чтобы устранять как традиционные уязвимости, так и специфичные для ИИ поверхности атаки».
Отслеживание данных выявило опасность
Чтобы преодолеть ограничения «традиционных инструментов статического анализа», которые, как сообщается, испытывают трудности с современными программными стеками, где входные данные проходят многочисленные преобразования перед выполнением рискованных операций, Endor Labs внедрила подход SAST на основе ИИ SAST, который, по их утверждению, сохраняет контекст при этих преобразованиях.
Это помогло исследователям понять «не только где существуют опасные операции, но и могут ли данные, контролируемые злоумышленником, достичь их». Тестовый движок отобразил полный путь «недоверенных данных» от точек входа, таких как параметры HTTP, значения конфигурации или ответы внешних API, до «приемников», чувствительных к безопасности, таких как сетевые запросы, файловые операции или выполнение команд.
Endor Labs заявила, что ответственно раскрыла уязвимости сопровождающим OpenClaw, которые впоследствии устранили проблемы, позволив исследователям опубликовать технические детали. В отчете не было предоставлено подробных рекомендаций по смягчению последствий, но было отмечено, что исправления были внедрены во всех затронутых компонентах.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma