ChainCatcher, згідно з ринковими даними, команда, що об’єднала Китайську академію інформаційних технологій, Шанхайський джерельний університет та Університет Наньцзін, під час проведення аудиту безпеки відкритого автономного агентського фреймворку OpenClaw виявила критичну вразливість типу командна ін’єкція, спричинену LLM, у модулі bash-tools. Ця вразливість виникає через відсутність строгого екранування параметрів командного рядка, згенерованих LLM; зловмисники можуть обійти регулярні захисти за допомогою нав’язливих Prompt, щоб виконати віддалений код на хост-системі та викрасти конфіденційні дані. Дослідницька команда успішно підтвердила атаки в різних середовищах основних моделей, запустила процес відповідальної розкриття вразливості та подала рекомендації щодо виправлення до спеціалізованої бази даних безпеки штучного інтелекту NVDB (CAIVD) та спільноти GitHub.
Китайська академія інформаційних та комунікаційних технологій виявила вразливість до виконання команд високого рівня ризику в OpenClaw
ChaincatcherПоділитися
Короткий зміст
Спільна команда з Китайської академії інформаційних і зв’язкових технологій, Університету Цзяотонг у Шанхаї та Національного університету Наньцзін виявила вразливість високого рівня ризику типу ін’єкція команд у відкритому джерелі автономного агентського фреймворку OpenClaw. Недолік у модулі bash-tools дозволяє зловмисникам виконувати віддалений код через підготовлені запити, обходячи захист за допомогою регулярних виразів. Команда підтвердила атаку в основних середовищах моделей і повідомила про цю проблему до бази даних безпеки продуктів ШІ NVDB (CAIVD) та GitHub. Це виявлення може вплинути на зусилля CFT, відкриваючи системи для несанкціонованого доступу. Ринки ліквідності та криптовалют також можуть стати під загрозою, якщо такі вразливості будуть експлуатуватися в автоматизованих торгівельних системах.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.