黄金財経が報じ、3月31日、国是直通車によると、近日360デジタルセキュリティ・グループから入手した情報として、同社が自社開発した360のマルチエージェント協調型脆弱性発掘システムがOpenClawプラットフォーム上で、高リスクの脆弱性を1件発見した——MEDIAプロトコルのPromptインジェクションにより、ツール権限をバイパスしてローカルファイルを漏えいさせる脆弱性である。この脆弱性は国家情報セキュリティ脆弱性データベース(CNNVD)によって正式に確認されており、影響範囲は世界50以上の国と地域に及び、公開アクセス可能な17万件以上のOpenClawインスタンスがセキュリティ上のリスクにさらされている。報道によれば、この脆弱性の中核的なリスクは、MEDIAプロトコルが出力後処理レイヤーで動作しており、プラットフォームのツール戦略の制御を完全にバイパスできる点にある。たとえAgentがすべてのツール呼び出しを無効化していても、攻撃者はグループチャットの基礎メンバー権限のみで攻撃を開始でき、サーバーの機密情報を直接窃取し、続発するネットワーク攻撃を引き起こしやすいという。
360インテリジェンスがOpenClawの深刻な脆弱性を発見、世界中の17万件に影響の可能性
黄金財経が報じ、3月31日、国是直通車によると、近日360デジタルセキュリティ・グループから入手した情報として、同社が自社開発した360のマルチエージェント協調型脆弱性発掘システムがOpenClawプラットフォーム上で、高リスクの脆弱性を1件発見した——MEDIAプロトコルのPromptインジェクションにより、ツール権限をバイパスしてローカルファイルを漏えいさせる脆弱性である。この脆弱性は国家情報セキュリティ脆弱性データベース(CNNVD)によって正式に確認されており、影響範囲は世界50以上の国と地域に及び、公開アクセス可能な17万件以上のOpenClawインスタンスがセキュリティ上のリスクにさらされている。報道によれば、この脆弱性の中核的なリスクは、MEDIAプロトコルが出力後処理レイヤーで動作しており、プラットフォームのツール戦略の制御を完全にバイパスできる点にある。たとえAgentがすべてのツール呼び出しを無効化していても、攻撃者はグループチャットの基礎メンバー権限のみで攻撃を開始でき、サーバーの機密情報を直接窃取し、続発するネットワーク攻撃を引き起こしやすいという。