360 виявлення вразливостей інтелектуальний агент останнім часом виявив три великі вразливості OpenClaw

Купуйте акції та дивіться аналітичні звіти аналітиків «Jin Qilin» — авторитетно, професійно, своєчасно, всебічно, допоможе вам розкривати потенційні теми й можливості!

У повідомленні Sina Tech від 7 квітня ввечері йдеться, що нещодавно 360-агент з пошуку вразливостей на базі виявлення інтелектуально успішно знайшов і повідомив про 3 високовартісні вразливості для OpenClaw: 1 критичну та 2 середнього рівня. Наразі всі нововиявлені вразливості вже виправлено офіційно та оприлюднено.

Усі три нововиявлені вразливості безпосередньо вказують на ключовий механізм роботи AI-агентів; рівень безпекових ризиків прямо впливає на основну безпеку пристроїв, даних і акаунтів користувачів. Небезпека чітка й наочна. Зокрема, критична вразливість міститься на етапі локального схвалення та виконання скриптів: система лише перевіряє статус схвалення скрипта і не здійснює перевірку того, чи скрипт було підмінено. Зловмисник може, після проходження схвалення скрипта, зловмисно замінити код і тим самим виконати незаконні дії на комп’ютері користувача, реалізуючи викрадення інформації, зміну файлів або навіть контроль цілого пристрою.

Одна з середнього рівня вразливостей прихована в процесі OAuth ручного вставлення авторизації: через те, що розробник повторно використав локальні конфіденційні параметри безпеки як публічні параметри, ключова інформація валідації витікає разом із URL зворотного виклику. Зловмисник може викрасти цю інформацію за допомогою буфера обміну, мережевих проксі тощо, легко отримати токен доступу й перехопити користувацькі сервіси Google, створюючи серйозну загрозу безпеці акаунта користувача та конфіденційності даних. Інша середнього рівня вразливість з’являється в процесі обробки даних у WebSocket для голосових дзвінків: система не виконує завчасну перевірку законності даних і одразу обробляє надто великі пакети. Зловмисник може, надсилаючи масивні обсяги великих пакетів, виснажити ресурси системи, спричинивши зависання, аварійне завершення роботи пристрою й унеможлививши використання звичайних сервісів.

Згідно з повідомленням, система 360 з виявлення вразливостей досягла того, що вона вже виявила численні високовартісні безпекові вразливості в кількох основних моделях AI-агентів. На відміну від традиційних інструментів сканування за правилами, 360-агент з виявлення вразливостей здійснив стрибок від сканування, керованого правилами, до мислення, керованого інтелектом: він може точно ідентифікувати глибинні приховані проблеми в AI-агентах, зокрема дефекти логіки авторизації, вразливості контролю ресурсів, ризики реалізації протоколів тощо. А ще його більш ніж знакове значення полягає в тому, що безпековим дослідникам, які роками накопичували інтуїцію протидії та досвід у цій сфері, вперше доступний цифровий носій, який можна накопичувати, повторно використовувати та який можна безперервно вдосконалювати. Раніше великі обсяги повторюваної, механічної роботи — пошук, перевірка, відтворення вразливостей та інші базові завдання — тепер можна ефективно доручити агенту з пошуку вразливостей. У результаті безпекові експерти звільняються від виснажливої повторюваності, повертаються на ключові бойові позиції найтворчішого дослідження протидії та атак, проєктування правил, оцінювання ризиків і справді забезпечують максимальне вивільнення людської цінності та технічних можливостей.

Заява Sina: це повідомлення є передруком із матеріалів партнерських ЗМІ Sina. Розміщення на Sina.com здійснено з метою донесення більше інформації та не означає підтримки їхніх поглядів або підтвердження описаного. Матеріали статті призначені лише для довідки і не становлять інвестиційної поради. Інвестори, спираючись на це, діють на власний ризик.

Відповідальний редактор: Сун Яфан

(Редактор: Лю Чан ）

     【Дисклеймер】Ця стаття відображає лише особисті погляди автора та не має стосунку до Hexun. Сайт Hexun зберігає нейтралітет щодо наведених у матеріалі тверджень, оцінок поглядів. Він не надає жодних явних або прихованих гарантій щодо точності, надійності чи повноти містженого. Будь ласка, читачі розглядають це лише як довідку та несуть повну відповідальність самостійно. Email: news_center@staff.hexun.com

Повідомити про порушення