360 trí tuệ nhân tạo phát hiện lỗ hổng nguy hiểm của OpenClaw, có thể ảnh hưởng đến 170.000 trường hợp trên toàn cầu

Tin tức từ Mars Finance ngày 31 tháng 3, gần đây được biết từ Tập đoàn Bảo mật số 360, hệ thống khai thác lỗ hổng phối hợp đa tác nhân (Multi-agent) 360 do chính họ tự nghiên cứu và phát triển đã phát hiện một lỗ hổng mức độ nguy cơ cao trên nền tảng OpenClaw—lỗ hổng rò rỉ tệp cục bộ thông qua việc Prompt injection trong giao thức MEDIA, vượt qua quyền của công cụ. Lỗ hổng này đã được Cơ sở dữ liệu lỗ hổng an ninh thông tin quốc gia (CNNVD) chính thức xác nhận, phạm vi ảnh hưởng bao gồm hơn 50 quốc gia và khu vực trên toàn cầu, hơn 170.000 phiên bản OpenClaw có thể truy cập công khai đang đứng trước rủi ro an toàn. Theo giới thiệu, rủi ro cốt lõi của lỗ hổng nằm ở chỗ giao thức MEDIA chạy trên lớp xử lý hậu kỳ (post-processing), có thể hoàn toàn vượt qua cơ chế kiểm soát theo chính sách công cụ của nền tảng; ngay cả khi Agent tắt toàn bộ lệnh gọi công cụ, kẻ tấn công chỉ cần quyền của thành viên cơ bản trong nhóm chat cũng có thể khởi phát tấn công, trực tiếp đánh cắp thông tin nhạy cảm của máy chủ, và rất dễ dẫn tới các cuộc tấn công mạng tiếp theo. (Kênh Quốc gia đi thẳng)