360 intelligent agent découvre une vulnérabilité critique d'OpenClaw, pouvant affecter 170 000 instances dans le monde

Nouvelles de Mars Finance, le 31 mars : récemment, le Groupe 360 Digital Security a indiqué avoir découvert, au sein de la plateforme OpenClaw, une vulnérabilité à haut risque — une faille de fuite de fichiers locaux via une injection de type « Prompt » dans le protocole MEDIA permettant de contourner les permissions des outils. Cette vulnérabilité a été officiellement confirmée par la Base nationale des vulnérabilités de sécurité des informations (CNNVD). La portée de l’impact couvre plus de 50 pays et régions à travers le monde ; plus de 170 000 instances d’OpenClaw accessibles publiquement sont exposées à des risques de sécurité. Selon les informations communiquées, le risque principal de cette vulnérabilité réside dans le fait que le protocole MEDIA s’exécute dans la couche de post-traitement de sortie, et peut entièrement contourner le contrôle des stratégies relatives aux outils de la plateforme. Même si l’Agent désactive tous les appels d’outils, un attaquant peut lancer l’attaque uniquement avec les droits des membres de base d’un groupe de discussion, dérobant directement des informations sensibles du serveur, et pouvant facilement déclencher des attaques réseau ultérieures. (Le canal direct « Guoshi »)