Добавить в корзинуПозвонить
Найти в Дзене
DigiNews
1830 подписчиков

Основатель OpenClaw подтвердил обнаружение критической «zero-day» уязвимости специалистами 360

1 мин
Критический дефект 0Day в шлюзе OpenClaw демонстрирует, как риски безопасности в AI-агентах стремительно смещаются от моделей к уязвимостям на системном уровне. — pandaily.com Основатель OpenClaw, Питер, официально подтвердил критическую уязвимость безопасности, обнаруженную исключительно командой 360’s Security Cloud, согласно недавнему ответу по электронной почте. Данный дефект, идентифицированный как уязвимость обновления WebSocket без аутентификации в OpenClaw Gateway, классифицирован как 0Day высокого риска. В случае эксплуатации он представляет значительные угрозы безопасности. Согласно предоставленным сведениям, злоумышленники могут использовать канал WebSocket для скрытного обхода аутентификации и получения прямого контроля над шлюзом агента. При злонамеренной эксплуатации уязвимость может привести к серьезным последствиям, включая исчерпание системных ресурсов и даже полный сбой системы, что ставит под угрозу стабильность затронутых устройств и сервисов. После обнаружения кома

Критический дефект 0Day в шлюзе OpenClaw демонстрирует, как риски безопасности в AI-агентах стремительно смещаются от моделей к уязвимостям на системном уровне. — pandaily.com

Основатель OpenClaw, Питер, официально подтвердил критическую уязвимость безопасности, обнаруженную исключительно командой 360’s Security Cloud, согласно недавнему ответу по электронной почте.

Данный дефект, идентифицированный как уязвимость обновления WebSocket без аутентификации в OpenClaw Gateway, классифицирован как 0Day высокого риска. В случае эксплуатации он представляет значительные угрозы безопасности.

Согласно предоставленным сведениям, злоумышленники могут использовать канал WebSocket для скрытного обхода аутентификации и получения прямого контроля над шлюзом агента. При злонамеренной эксплуатации уязвимость может привести к серьезным последствиям, включая исчерпание системных ресурсов и даже полный сбой системы, что ставит под угрозу стабильность затронутых устройств и сервисов.

После обнаружения команда 360 Security Cloud оперативно сообщила об уязвимости в Национальную базу данных уязвимостей Китая (CNVD), что позволило провести быструю оценку рисков, смягчение последствий и сдерживание в сетях для предотвращения масштабной эксплуатации.

Этот инцидент также подчеркивает растущую озабоченность безопасностью в экосистеме агентов. По мере того как AI-агенты эволюционируют из разговорных инструментов в основные системы исполнения, риски ограничиваются не только уровнем модели, но и стремительно распространяются на уровни интерфейсов, цепочки вызова навыков и разрешения на системном уровне.

Общие уязвимости в отрасли теперь включают открытые публичные интерфейсы, внедрение вредоносных навыков, атаки типа prompt injection и отсутствие надежных механизмов аудита.

Отраслевые эксперты отмечают, что прямое подтверждение от основателя подчеркивает растущую способность китайских команд безопасности выявлять и смягчать риски в основных конвейерах исполнения агентов. Это также предоставляет критически важные сведения о безопасности и рекомендации по защите для быстрорастущей экосистемы AI-агентов.

Источник:ITBEAR

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Pandaily

Оригинал статьи

Гаджеты и электроника
5,73 млн интересуются