اكتشفت معهد الاتصالات بالصين بالتعاون مع الجامعات وأصلحت ثغرة حقن الأوامر الحرجة في OpenClaw

أخبار Gate، في 16 مارس، أثناء إجراء فريق مشترك من معهد الصين للاتصالات السلكية واللاسلكية وجامعة شنغهاي جياو تونغ وجامعة نانجينغ تدقيقًا أمنيًا لإطار العمل المفتوح المصدر للذكاء الاصطناعي المستقل OpenClaw، تم اكتشاف وجود ثغرة خطيرة من نوع حقن أوامر تعتمد على محرك LLM في وحدة bash-tools. تعود هذه الثغرة إلى عدم قيام النظام بتطهير معلمات سطر الأوامر التي يولدها LLM بشكل صارم، مما يسمح للمهاجمين بتجاوز دفاعات التعبيرات العادية من خلال استدراج prompts، وتنفيذ تعليمات برمجية عن بعد على الجهاز المضيف وسرقة بيانات حساسة. أكمل فريق البحث التحقق من الهجمات في بيئات نماذج رئيسية متعددة، وبدأ عملية الكشف عن الثغرة بمسؤولية، وقدم اقتراحات لإصلاح الثغرة إلى قاعدة بيانات الثغرات الأمنية لمنتجات الذكاء الاصطناعي NVDB (CAIVD) ومجتمع GitHub.