360 интеллектуальный агент обнаружил уязвимость высокого риска в OpenClaw, которая может затронуть 170 000 устройств по всему миру

Сообщение Mars Finance, 31 марта. Недавно стало известно из 360 Digital Security Group, что разработанная ими самостоятельно система обнаружения уязвимостей для взаимодействия «360 Multi Agents», размещённая на платформе OpenClaw, выявила критическую уязвимость: уязвимость обхода прав доступа инструмента и утечки локальных файлов через Prompt Injection в протоколе MEDIA. Эта уязвимость была официально подтверждена Национальной базой данных об уязвимостях в области информационной безопасности (CNNVD). Площадь воздействия охватывает более 50 стран и регионов по всему миру; более 170000 общедоступных экземпляров OpenClaw сталкиваются с риском безопасности. По сообщению, ключевой риск этой уязвимости заключается в том, что протокол MEDIA работает на уровне постобработки вывода и может полностью обходить контроль стратегий платформенных инструментов; даже если Agent отключит все вызовы инструментов, атакующий, имея только права базового участника в групповом чате, может инициировать атаку, напрямую похищая конфиденциальные данные сервера, что крайне легко может привести к последующим сетевым атакам. (Государственный прямой эфир)