360 обнаружила три уязвимости в OpenClaw, включая критическую

/ ТехнологииНовости / Технологии

Китайская компания 360 сообщила об обнаружении трёх высокоценных уязвимостей в платформе OpenClaw. Одна из них классифицирована как критическая, а две другие — как среднего уровня риска. Все найденные уязвимости уже устранены разработчиками OpenClaw.

Эти уязвимости затрагивают ключевые механизмы работы OpenClaw и могут напрямую влиять на безопасность устройств, данных и учётных записей пользователей.

Критическая уязвимость была обнаружена в процессе проверки и выполнения локальных скриптов. Система проверяла только статус одобрения скрипта, но не контролировала, был ли изменён его исходный код после утверждения. Это позволяло злоумышленнику подменить код после получения разрешения и выполнить на компьютере жертвы произвольные команды, вплоть до полного контроля над устройством и кражи информации.

Первая уязвимость среднего уровня была связана с процессом OAuth-авторизации. Конфиденциальные параметры проверки использовались как публичные, что приводило к утечке ключевой информации через URL обратного вызова. Это могло позволить атакующему перехватить токены доступа и получить контроль над сервисами пользователя, связанными с Google.

Вторая уязвимость среднего уровня касалась обработки данных WebSocket в голосовых вызовах. Система обрабатывала слишком большие пакеты данных без проверки их легитимности. Злоумышленник мог отправить огромное количество таких пакетов, чтобы исчерпать системные ресурсы, вызвав зависание или сбой устройства.

Поиск уязвимостей был выполнен с помощью специального «интеллектуального агента» от 360, что является частью стратегии компании по использованию ИИ для контроля за другими ИИ-системами. В отличие от традиционных сканеров, работающих по заданным правилам, этот агент использует интеллектуальный подход, способный выявлять глубинные угрозы безопасности в ИИ-агентах и оцифровывать опыт исследователей в области кибербезопасности для его повторного использования.

ИИ: Обнаружение уязвимостей с помощью ИИ-агентов становится всё более актуальной практикой в условиях стремительного развития сложных ИИ-систем. Подход «ИИ против ИИ» может стать ключевым для обеспечения безопасности в будущем, хотя и требует тщательной проверки самих инструментов аудита.

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии