China Academy of Information and Communications Technology Together with Universities Discovers and Fixes Critical OpenClaw Command Injection Vulnerability Китайская академия информации и коммуникационных технологий совместно с университетами обнаружила и устранила критическую уязвимость внедрения команд OpenClaw Китайська академія інформації та комунікаційних технологій спільно з університетами виявила та усунула критичну вразливість внедрення команд OpenClaw

Gate News повідомляє, що 16 березня Китайський інститут зв’язку та інформаційних технологій у співпраці з командою Шанхайського транспортного університету та Нанкінського університету провели безпековий аудит відкритої автономної інтелектуальної платформи OpenClaw. Виявлено високоризикову уразливість у модулі bash-tools, пов’язану з командним інжекцією, спричиненою LLM. Уразливість виникає через відсутність суворого екранізування командних рядків, згенерованих LLM, що дозволяє зловмиснику обійти регулярні захисти за допомогою провокаційних Prompt і виконати віддалений код на хост-машині, а також викрасти конфіденційні дані. Команда дослідження завершила перевірку атаки у різних основних моделях, ініціювала відповідний процес розкриття вразливості та подала рекомендації щодо виправлення до бази даних NVDB з безпеки штучного інтелекту (CAIVD) і спільноти GitHub.