ChainCatcher сообщает, что по рыночным данным команда, объединившая Китайскую академию информационных и коммуникационных технологий, Шанхайский джияотунский университет и Нанкинский университет, при проведении аудита безопасности открытой автономной агентской платформы OpenClaw обнаружила критическую уязвимость типа командной инъекции, управляемой ИИ, в модуле bash-tools. Уязвимость возникает из-за отсутствия строгого экранирования параметров командной строки, генерируемых ИИ; злоумышленник может обойти регулярные защитные механизмы с помощью наводящих промптов и выполнить удаленный код на хост-машине, а также похитить конфиденциальные данные. Исследовательская группа успешно подтвердила атаку в различных средах с использованием популярных моделей, начала процесс ответственного раскрытия уязвимости и представила рекомендации по исправлению в специализированную базу данных безопасности продуктов ИИ NVDB (CAIVD) и сообщество GitHub.
Китайская академия информационных и коммуникационных технологий обнаружила уязвимость типа внедрения команд высокого риска в OpenClaw
ChaincatcherПоделиться
Сводка
Совместная команда из Китайской академии информационных и коммуникационных технологий, Шанхайского университета Цзяотон и Нанкинского университета обнаружила уязвимость типа командной инъекции высокого риска в открытой фреймворке автономных агентов OpenClaw. Уязвимость в модуле bash-tools позволяет злоумышленникам выполнять удаленный код через специально сформированные запросы, обходя защиту с помощью регулярных выражений. Команда подтвердила атаку в основных средах моделей и сообщила о проблеме в базу данных уязвимостей безопасности продуктов ИИ NVDB (CAIVD) и на GitHub. Это открытие может повлиять на усилия по защите CFT, подвергая системы риску несанкционированного доступа. Ликвидность и криптовалютные рынки также могут столкнуться с рисками, если такие уязвимости будут использованы в автоматизированных торговых системах.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.