Agen Penemuan Kerentanan 360 Temukan Tiga Kerentanan Utama OpenClaw

SadMoneyMeow · 2026-04-07T16:14:00+00:00

Agen penambangan kerentanan 360 baru-baru ini berhasil menemukan dan melaporkan 3 kerentanan bernilai tinggi, yang menargetkan mekanisme operasional inti agen AI dan berdampak pada keamanan perangkat serta data pengguna. Kerentanan berisiko tinggi dapat disalahgunakan oleh penyerang untuk mengganti skrip secara berbahaya, sehingga menyebabkan pencurian informasi, dan sebagainya. Sementara itu, kerentanan berisiko sedang mencakup proses OAuth dan pemrosesan data WebSocket, keduanya memiliki potensi risiko keamanan yang serius. Teknologi agen ini mewujudkan transformasi dari alat tradisional menjadi lebih cerdas, meningkatkan efisiensi deteksi kerentanan, serta membebaskan kerja kreatif para pakar keamanan.

SadMoneyMeow

2026-04-07 16:14:00

Pembuatan abstrak sedang berlangsung

Berinvestasi saham, lihat laporan riset analis Jinqilin, berwenang, profesional, tepat waktu, menyeluruh, membantu Anda menggali peluang bertema berpotensi!

Menurut laporan SINA Technology pada malam 7 April, baru-baru ini, agen penemuan kerentanan 360 yang menargetkan OpenClaw berhasil menemukan dan melaporkan 3 kerentanan bernilai tinggi: 1 berisiko tinggi dan 2 berisiko menengah. Saat ini, semua kerentanan baru yang ditemukan telah diperbaiki secara resmi dan dipublikasikan.

Tiga kerentanan baru yang ditemukan kali ini semuanya langsung menyasar mekanisme inti operasi agen AI, sehingga risiko keamanannya berdampak langsung pada keamanan inti perangkat, data, dan akun pengguna; dampaknya jelas dan intuitif. Di antaranya, kerentanan berisiko tinggi terdapat pada tahap persetujuan dan eksekusi skrip lokal. Sistem hanya memeriksa status persetujuan skrip, tanpa memvalidasi apakah isi skrip telah dimanipulasi. Penyerang dapat mengganti kode secara jahat setelah skrip lolos persetujuan, sehingga menjalankan operasi ilegal di komputer pengguna, mewujudkan pencurian informasi, modifikasi file, bahkan kontrol seluruh perangkat.

Salah satu kerentanan berisiko menengah disembunyikan dalam alur otorisasi OAuth melalui tempel manual. Karena pengembang menggunakan parameter validasi keamanan privasi lokal secara langsung kembali sebagai parameter publik, informasi validasi kunci akan bocor bersama URL callback. Penyerang dapat mencuri informasi tersebut melalui papan klip (clipboard), proksi jaringan, dan sebagainya, dengan mudah memperoleh token akses serta mengambil alih layanan Google yang terkait dengan pengguna, sehingga menimbulkan ancaman serius terhadap keamanan akun pengguna dan privasi data; kerentanan berisiko menengah lainnya muncul dalam alur pemrosesan data WebSocket untuk panggilan suara. Sistem tidak melakukan validasi terlebih dahulu terhadap legalitas data sebelum langsung memproses paket data berukuran sangat besar. Penyerang dapat menghabiskan sumber daya sistem dengan mengirimkan paket data besar dalam jumlah besar, menyebabkan perangkat tersendat dan mengalami crash, sehingga layanan normal tidak dapat digunakan.

Menurut keterangan, ekosistem agen penemuan kerentanan 360 telah secara kumulatif menemukan berbagai kerentanan keamanan bernilai tinggi dari banyak agen AI arus utama. Berbeda dari alat pemindaian kerentanan berbasis aturan tradisional, agen penemuan kerentanan 360 menerapkan lompatan dari pemicu berbasis aturan ke pemikiran cerdas yang digerakkan oleh kecerdasan, sehingga dapat secara akurat mengidentifikasi kerentanan lapisan dalam seperti cacat logika otorisasi pada agen AI, kerentanan kontrol sumber daya, risiko implementasi protokol, dan lain-lain. Nilai yang lebih bersifat tonggak dalam hal ini adalah memberi peneliti keamanan wadah digital yang dapat disimpan, digunakan kembali, dan terus berkembang untuk pertama kalinya, yang menampung intuisi serangan-bela yang telah terakumulasi selama bertahun-tahun dan pengalaman di bidangnya. Pekerjaan dasar yang selama ini sangat banyak—berulang, mekanis—seperti pencarian, verifikasi, dan replikasi kerentanan kini dapat dikerjakan secara efisien oleh agen penemuan kerentanan. Dengan demikian, para ahli keamanan dibebaskan dari kerja berulang yang merepotkan, kembali ke medan inti riset serangan-bela yang paling kreatif, perancangan aturan, dan penilaian risiko; yang benar-benar mewujudkan pelepasan maksimal nilai tenaga manusia dan kemampuan teknis.

Pernyataan SINA: Berita ini adalah reprint dari media kerja sama SINA. Tujuan pemuatan di situs Sina adalah untuk menyampaikan informasi lebih banyak, dan tidak berarti menyetujui pandangan tersebut atau membuktikan uraian yang disebutkan. Konten artikel hanya untuk referensi, tidak merupakan nasihat investasi. Investor yang bertindak berdasarkan ini menanggung risiko masing-masing.

Penanggung jawab redaksi: Song Yafang

(Pengelola/editor): Liu Chang )

     【Pernyataan penafian】Artikel ini hanya mewakili pandangan penulisnya sendiri, dan tidak ada hubungannya dengan Hexun. Situs Hexun bersikap netral terhadap pernyataan, penilaian pandangan yang dimuat dalam artikel, dan tidak memberikan jaminan apa pun secara tersurat maupun tersirat atas akurasi, keandalan, atau kelengkapan konten yang terkandung. Harap pembaca hanya menjadikannya sebagai referensi dan menanggung seluruh tanggung jawab sendiri. Email: news_center@staff.hexun.com

Laporkan

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.