ChainCatcher mesajına göre, pazar kaynaklarına göre Çin İletişim ve Bilgi Teknolojileri Enstitüsü ile Şangay Jiaotong Üniversitesi ve Nanjing Üniversitesi ortak ekibi, açık kaynaklı kendi kendini yöneten ajan çerçevesi OpenClaw üzerinde güvenlik denetimi yaparken, bash-tools modülünde LLM tabanlı komut enjeksiyonu yüksek riskli bir açığa rastladı. Bu açığın nedeni, sistemin LLM tarafından oluşturulan komut satırı parametrelerini sıkı bir şekilde kaçıştırmamasıdır; saldırganlar, düzenli ifadelerle koruma mekanizmasını aşmak için kandırıcı Prompt'lar kullanarak ana makinede uzaktan kod yürütme ve hassas verileri çalmayı başarabilir. Araştırma ekibi, çeşitli popüler model ortamlarında saldırı doğrulamasını tamamladı, sorumlu güvenlik açığı bildirim sürecini başlattı ve NVDB Yapay Zeka Ürünleri Güvenlik Açığı Özel Kütüphanesine (CAIVD) ve GitHub topluluğuna onarım önerileri sundu.
Çin Bilgi ve İletişim Teknolojileri Akademisi, OpenClaw'da yüksek riskli bir komut enjeksiyonu zafiyeti keşfetti
ChaincatcherPaylaş
Özet
Çin Bilgi ve İletişim Teknolojileri Akademisi, Şangay Jiao Tong Üniversitesi ve Nankin Üniversitesi ortak ekibi, OpenClaw açık kaynaklı otonom ajan çerçevesinde yüksek riskli bir komut enjeksiyonu zafiyeti keşfetti. Bash-tools modülündeki bu hata, saldırganların regex savunmalarını atlayarak özel olarak hazırlanmış istekler aracılığıyla uzaktan kod çalıştırmasına izin veriyor. Ekip, saldırganın büyük model ortamlarında başarıyla çalıştığını doğruladı ve sorunu NVDB AI Ürün Güvenliği Zafiyet Veritabanı (CAIVD) ve GitHub’a bildirdi. Bu keşif, sistemlerin yetkisiz erişime maruz kalmasına neden olarak CFT çabalarını etkileyebilir. Bu tür zafiyetler otomatik alım satım sistemlerinde kullanılırsa likidite ve kripto piyasaları da risk altına girebilir.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.