ChainCatcherの情報によると、市場の情報によると、中国情報通信研究院と上海交通大学、南京大学の共同チームは、オープンソースの自律エージェントフレームワーク「OpenClaw」のセキュリティ監査中に、bash-toolsモジュールにLLM駆動型コマンドインジェクションの高リスク脆弱性を発見しました。この脆弱性は、LLMが生成したコマンドラインパラメータに対する厳格なエスケープ処理が行われていないことが原因で、攻撃者は誘導的なプロンプトを用いて正規表現による防御を回避し、ホストマシン上でリモートコード実行を実行して機密データを盗み取ることが可能です。研究チームは複数の主要なモデル環境での攻撃検証を完了し、責任ある脆弱性開示プロセスを開始し、NVDB人工知能製品セキュリティ脆弱性専門データベース(CAIVD)およびGitHubコミュニティに修正案を提出しました。
中国情報通信研究院、OpenClawで高リスクのコマンドインジェクション脆弱性を発見
Chaincatcher共有
概要
中国情報通信技術研究院、上海交通大学、南京大学の共同チームは、OpenClawオープンソース自律エージェントフレームワークに高リスクのコマンドインジェクション脆弱性を発見しました。bash-toolsモジュールのこの欠陥により、攻撃者は正規表現の防御を回避し、意図的に作成されたプロンプトを通じてリモートコードを実行できます。チームは主要なモデル環境でこの攻撃を確認し、NVDB AI製品セキュリティ脆弱性データベース(CAIVD)およびGitHubに問題を報告しました。この発見は、システムが不正アクセスのリスクにさらされることにより、CFT活動に影響を及ぼす可能性があります。このような脆弱性が自動取引システムで悪用された場合、流動性および暗号資産市場にもリスクが生じる可能性があります。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。