Последние обнаружения интеллектуального агента по поиску уязвимостей 360: три основные уязвимости OpenClaw

Инвестирование в акции — смотрите отчёты аналитиков Jin Qilin: авторитетно, профессионально, своевременно, всесторонне — поможет вам раскрыть потенциал и возможности по перспективным темам!

Согласно сообщению SINA Technology от 7 апреля вечером, в последнее время интеллектуальный агент по поиску уязвимостей 360 для OpenClaw успешно обнаружил и отправил 3 уязвимости с высокой и средней степенью серьёзности: 1 критическую и 2 средних, всего 3 уязвимости с высокой ценностью. На данный момент все вновь обнаруженные уязвимости уже устранены официально и опубликованы.

Три вновь обнаруженные уязвимости напрямую затрагивают ключевой механизм работы AI-интеллектуальных агентов; связанные с этим риски безопасности напрямую влияют на основную безопасность устройств пользователей, данных и аккаунтов — последствия ясны и интуитивно понятны. Среди них критическая уязвимость находится на этапе локального утверждения и выполнения скриптов: система проверяет только статус утверждения скрипта и не проверяет, было ли содержимое скрипта подменено. Злоумышленник может после прохождения скриптом процедуры утверждения выполнить подмену кода с вредоносными намерениями, чтобы затем выполнять незаконные действия на компьютере пользователя, реализуя кражу информации, изменение файлов и даже полный контроль над устройством.

Одна из уязвимостей средней степени спрятана в процессе ручной вставки авторизации OAuth: из‑за того, что разработчик повторно использовал локальные приватные параметры проверки безопасности в качестве общедоступных параметров, ключевая информация в процессе обратного вызова URL утечёт. Злоумышленник может похитить эту информацию с помощью буфера обмена, сетевых прокси и т. п., легко получить access token и перехватить связанные с пользователем службы Google — это создаёт серьёзную угрозу безопасности аккаунта пользователя и конфиденциальности данных; другая уязвимость средней степени появляется в процессе обработки данных WebSocket для голосовых вызовов: система не выполняет предварительную проверку легитимности данных, а сразу обрабатывает сверхбольшие пакеты. Злоумышленник может, отправляя огромное количество пакетов с большими данными, исчерпать ресурсы системы, вызывать зависания и краши устройств, из‑за чего нормальное обслуживание становится недоступным.

Как сообщается, интеллектуальная система по поиску уязвимостей 360 уже накопила обнаружение множества высокоценностных уязвимостей безопасности у различных популярных AI-интеллектуальных агентов. В отличие от традиционных правило-ориентированных инструментов сканирования уязвимостей, интеллектуальный агент по поиску уязвимостей 360 реализует переход от сканирования, управляемого правилами, к управлению «умственными» рассуждениями, — что позволяет точно выявлять глубинные скрытые проблемы, включая дефекты логики авторизации у AI-интеллектуальных агентов, уязвимости контроля ресурсов, риски реализации протоколов и т. д. А её ценность, имеющая более чем этапное значение, состоит в том, что она даёт специалистам по безопасности, которые годами копили интуицию в атаке и защите и опыт в предметной области, впервые получить цифровой носитель, который можно накапливать, повторно использовать и постоянно совершенствовать. Огромная доля прошлых повторяющихся, механических базовых работ по поиску, проверке и воспроизведению уязвимостей — теперь может быть эффективно выполнена интеллектуальным агентом по поиску уязвимостей; эксперты по безопасности освобождаются от утомительного повторяющегося труда и возвращаются на ключевое поле наиболее креативных исследований по атаке и защите, проектирования правил и оценки рисков — действительно обеспечивая максимальную отдачу человеческой ценности и технических возможностей.

Заявление SINA: это сообщение является перепечаткой из сотрудничавших с SINA СМИ. Публикация на сайте Sina.com предназначена для передачи большего объёма информации и не означает согласие с изложенными взглядами или подтверждение описанного. Содержание статьи приводится только для справки и не является инвестиционной рекомендацией. Инвесторы действуют на свой риск.

Ответственный редактор: Сон Яфан

(Редактор: Лю Чан)

     【Уведомление об ответственности】Настоящая статья отражает только личные взгляды автора и не имеет отношения к Hexun. Сайт Huxun сохраняет нейтралитет в отношении изложенных в материале утверждений и оценок; никакие явные или подразумеваемые гарантии относительно точности, надёжности или полноты содержащегося там контента не предоставляются. Пожалуйста, читатели рассматривайте информацию только как справочную и несите полную ответственность самостоятельно. news_center@staff.hexun.com

Пожаловаться