El agente de detección de vulnerabilidades 360 descubre las tres principales vulnerabilidades de OpenClaw

Invertir en bolsa solo mira los informes de analistas de , autoridad, profesionales, oportunos, completos. ¡Le ayuda a descubrir oportunidades temáticas con potencial!

Según informó Sina Technology el 7 de abril por la noche: recientemente, el agente inteligente de detección de vulnerabilidades de 360 dirigido a OpenClaw logró descubrir y reportar con éxito 3 vulnerabilidades de alto valor, entre ellas 1 de alta severidad y 2 de severidad media. Actualmente, todas las vulnerabilidades recién descubiertas han sido corregidas oficialmente y divulgadas.

Las tres vulnerabilidades recién descubiertas apuntan directamente a los mecanismos centrales de funcionamiento de los agentes inteligentes de IA. Los riesgos de seguridad afectan de forma directa la seguridad central de los dispositivos, los datos y las cuentas de los usuarios; el daño es claro y directamente visible. En particular, la vulnerabilidad de alta severidad se encuentra en la fase de aprobación y ejecución de scripts locales. El sistema solo verifica el estado de aprobación del script, sin validar si el contenido del script fue manipulado. Los atacantes pueden, tras que el script pase la aprobación, sustituir maliciosamente el código y ejecutar operaciones ilegales en el ordenador del usuario, logrando el robo de información, la modificación de archivos e incluso el control de la unidad completa.

Una vulnerabilidad de severidad media está oculta en el flujo de autorización de pegado manual de OAuth. Dado que el desarrollador reutilizó directamente parámetros de verificación de seguridad privada local como parámetros públicos, la información clave de validación se filtra con la URL de devolución (callback). Los atacantes pueden robar esa información mediante el portapapeles, proxies de red, etc., obteniendo fácilmente los tokens de acceso y tomando el control de los servicios de Google asociados al usuario, lo que supone una amenaza grave para la seguridad de la cuenta del usuario y la privacidad de los datos. Otra vulnerabilidad de severidad media aparece en el flujo de procesamiento de datos del WebSocket de llamadas de voz. El sistema no valida previamente la legalidad de los datos y, sin embargo, procesa paquetes de datos excesivamente grandes. Los atacantes pueden agotar los recursos del sistema enviando enormes cantidades de paquetes de grandes datos, causando que el equipo se ralentice o se bloquee, y que los servicios normales queden inutilizables.

Según se informa, la plataforma del agente inteligente de detección de vulnerabilidades de 360 ya ha descubierto múltiples vulnerabilidades de seguridad de alto valor en diversos agentes inteligentes de IA convencionales. A diferencia de las herramientas tradicionales de escaneo de vulnerabilidades basadas en reglas, el agente inteligente de detección de vulnerabilidades de 360 logra el salto de un modelo impulsado por reglas a uno impulsado por el pensamiento inteligente, pudiendo identificar con precisión fallos en la lógica de autorización dentro de agentes inteligentes de IA, vulnerabilidades de control de recursos, riesgos en implementaciones de protocolos y otras amenazas profundas. Y su valor, aún más significativo a nivel de hito, radica en que permite a los investigadores de seguridad acumular durante años sus intuiciones de ataque y defensa y su experiencia en el dominio, por primera vez, con un soporte digital que puede acumularse, reutilizarse y evolucionar de manera continua. En el pasado, una gran cantidad de trabajos base repetitivos y mecánicos, como la detección, verificación y reproducción de vulnerabilidades, ahora pueden completarse de forma eficiente por el agente inteligente de detección de vulnerabilidades. Así, los expertos en seguridad se liberan del trabajo repetitivo y vuelven al campo central del estudio de ataque y defensa con más creatividad, el diseño de reglas y el análisis de riesgos, logrando de verdad la liberación máxima del valor humano y de las capacidades técnicas.

Declaración de Sina: Este mensaje es una reimpresión de un medio asociado de Sina. Sina.com publica este artículo con el propósito de transmitir más información, y no implica que esté de acuerdo con sus puntos de vista ni que confirme lo descrito. El contenido del artículo solo sirve como referencia y no constituye asesoramiento de inversión. Los inversores operan con base en esto, y el riesgo corre por su cuenta.

Responsable editorial: Song Yafang

(Operador editorial: Liu Chang )

     【Aviso legal】Este artículo representa únicamente las opiniones personales del autor y no tiene relación con Hexun. El sitio de Hexun mantiene una postura neutral respecto a las afirmaciones y juicios de opinión presentados en el texto, y no ofrece ninguna garantía expresa o implícita sobre la exactitud, confiabilidad o integridad de los contenidos incluidos. Se pide a los lectores que lo tomen solo como referencia y asuman toda la responsabilidad por su cuenta. Correo electrónico: news_center@staff.hexun.com

Reportar