L'agent d'exploration de vulnérabilités 360 a récemment découvert trois grandes vulnérabilités d'OpenClaw

Investir en bourse, regardez les rapports d’analyse de l’analyste Golden Qilin : faisant autorité, professionnels, opportuns, complets, pour vous aider à exploiter des opportunités liées à des thématiques à fort potentiel !

Selon SINA Tech, dans la soirée du 7 avril, récemment, l’agent intelligent d’exploitation de vulnérabilités de 360 ciblant OpenClaw a réussi à en découvrir de nouvelles et à en soumettre 1 vulnérabilité critique et 2 vulnérabilités de gravité moyenne, soit 3 vulnérabilités à forte valeur au total. À l’heure actuelle, toutes les nouvelles vulnérabilités découvertes ont toutes été corrigées officiellement et divulguées publiquement.

Les trois nouvelles vulnérabilités identifiées visent directement les mécanismes essentiels de fonctionnement des agents d’IA. Les risques de sécurité affectent directement la sécurité fondamentale des appareils, des données et des comptes des utilisateurs ; les dommages sont clairs et intuitifs. Parmi elles, la vulnérabilité critique se situe dans les étapes locales d’approbation et d’exécution des scripts : le système ne vérifie que l’état d’approbation des scripts et ne valide pas si le contenu du script a été altéré. L’attaquant peut, une fois le script approuvé, remplacer malicieusement le code, puis exécuter des opérations illégales sur l’ordinateur de l’utilisateur, permettant ainsi le vol d’informations, la modification de fichiers, voire le contrôle total de l’ensemble de l’appareil.

Une vulnérabilité de gravité moyenne se cache, elle, dans le processus d’autorisation par collage manuel d’OAuth. Le fait que le développeur réutilise directement les paramètres locaux de vérification de sécurité confidentiels comme paramètres publics entraîne la fuite d’informations clés de vérification via l’URL de rappel. L’attaquant peut alors voler ces informations via le presse-papiers, des proxys réseau, etc., obtenir facilement des jetons d’accès et prendre en main les services Google associés à l’utilisateur, ce qui constitue une menace sérieuse pour la sécurité du compte de l’utilisateur et la confidentialité des données ; une autre vulnérabilité de gravité moyenne apparaît dans le traitement des données des WebSocket d’appels vocaux : le système ne vérifie pas à l’avance la validité des données et les traite directement par l’envoi de paquets de données surdimensionnés. L’attaquant peut épuiser les ressources du système en envoyant des volumes massifs de paquets de grandes données, provoquant des ralentissements et des crashs de l’appareil, rendant les services normaux inutilisables.

D’après les informations, le système d’agent intelligent d’exploitation de vulnérabilités de 360 a déjà identifié de nombreuses vulnérabilités de sécurité à forte valeur pour plusieurs agents d’IA grand public. Différent des outils classiques de balayage de vulnérabilités basés sur des règles, l’agent intelligent d’exploitation de vulnérabilités de 360 franchit le pas de l’approche pilotée par des règles vers celle pilotée par une pensée intelligente, permettant d’identifier avec précision des failles profondes telles que les défauts de logique d’autorisation, les vulnérabilités de contrôle des ressources et les risques liés à la mise en œuvre des protocoles au sein des agents d’IA. Et sa valeur, encore plus marquante sur le plan historique, réside dans le fait de permettre aux chercheurs en sécurité de capitaliser sur leur intuition offensive-défensive accumulée pendant des années ainsi que leur expérience du domaine, et d’avoir pour la première fois un support numérique pouvant être capitalisé, réutilisé et évoluant de manière continue. Désormais, de nombreux travaux de base répétitifs et mécaniques, tels que la recherche, la vérification et la reproduction des vulnérabilités, peuvent être réalisés efficacement par l’agent intelligent d’exploitation de vulnérabilités ; les experts en sécurité sont ainsi libérés de l’exécution répétitive fastidieuse, et peuvent revenir sur le champ de bataille central le plus créatif : la recherche offensive-défensive, la conception des règles et l’évaluation des risques, réalisant véritablement une libération maximale de la valeur humaine et des capacités techniques.

Déclaration de SINA : Ce message est une reprise d’un contenu publié par un média partenaire de SINA. La publication sur le site SINA ne signifie pas que SINA adhère à ses points de vue ni qu’elle confirme les descriptions présentées. Le contenu de l’article est uniquement fourni à titre de référence et ne constitue pas un conseil en investissement. Les investisseurs agissent à leurs propres risques.

Responsable de la rédaction : Song Yafang

(Rédaction : Liu Chang)

     【Avertissement】 Le présent article ne reflète que les opinions de l’auteur lui-même, et n’a aucun lien avec Hexun.com. Le site Hexun reste neutre quant aux déclarations, aux points de vue et aux jugements formulés dans l’article ; il n’offre aucune garantie explicite ou implicite concernant l’exactitude, la fiabilité ou l’exhaustivité des contenus inclus. Les lecteurs ne doivent consulter ces informations qu’à titre de référence et doivent assumer l’entière responsabilité de leurs actes. Email : news_center@staff.hexun.com

Signaler