360 intelligent agent découvre une vulnérabilité critique d'OpenClaw pouvant affecter 170 000 instances dans le monde

Golden Finance rapporte que, le 31 mars, d’après Guoshi Zhitongche, récemment, le Groupe 360 Digital Security a indiqué avoir découvert, sur la plateforme OpenClaw, une vulnérabilité à haut risque dans son système de détection de vulnérabilités par collaboration de plus de 360 agents intelligents développé en interne — une vulnérabilité de fuite de fichiers locaux par injection d’invite via le protocole MEDIA, contournant les autorisations des outils. Cette vulnérabilité a été officiellement confirmée par la base nationale des vulnérabilités en matière d’information (CNNVD). Son champ d’impact couvre plus de 50 pays et régions à l’échelle mondiale, et plus de 170 000 instances publiques accessibles d’OpenClaw font face à des risques de sécurité. D’après les informations, le risque central de cette vulnérabilité réside dans le fait que le protocole MEDIA s’exécute dans la couche de post-traitement de la sortie, pouvant contourner entièrement le contrôle des stratégies liées aux outils de la plateforme ; même si l’Agent désactive tous les appels d’outils, un attaquant peut lancer l’attaque uniquement avec les droits des membres de base d’une discussion de groupe, dérobant directement des informations sensibles du serveur et entraînant très facilement des attaques réseau ultérieures.