研究者らが、AIを搭載したコードスキャナーを使用してOpenClawのレイヤー全体で信頼できないデータをトレースし、SSRF、認証バイパス、パストトラバーサルを含む悪用可能な弱点を露出させたと述べています。
セキュリティ研究者は、オープンソースのAIエージェントフレームワークであるOpenClawに影響を及ぼす6つの高~クリティカルな欠陥を発見しました。このフレームワークは「AI用のソーシャルメディア」として知られています。この欠陥はEndor Labsの研究者がプラットフォームをエージェント的AIソフトウェアを通じてデータが実際にどのように移動するかを追跡するように設計されたAI駆動型の静的アプリケーションセキュリティテスト(SAST)エンジンで実行したときに発見されました。
バグは、サーバーサイドリクエストフォージェリ(SSRF)、Webhook認証の欠落、認証バイパス、パストトラバーサルなど、複数のウェブセキュリティカテゴリーに及んでおり、大規模言語モデル(LLM)とツール実行および外部統合を組み合わせた複雑なエージェントシステムに影響を与えています。
研究者はまた、各欠陥に対する動作する概念実証エクスプロイトを公開し、現実世界での悪用可能性を確認しました。OpenClawは問題に対するパッチとセキュリティアドバイザリーを公開しています。
欠陥にはSSRFパス、認証バイパス、ファイルエスケープが含まれていました
Endor Labsの開示は、6つのOpenClaw脆弱性をCVE識別子ではなく、弱点タイプと個別の重大度によって特性化しました。
いくつかの問題はSSRFバグであり、異なるツールに影響を及ぼしており、ユーザーが提供するURLを受け入れて発信WebSocket接続を確立するゲートウェイコンポーネント(CVSS 7.6)が含まれます。他の2つにはUrbit認証のSSRF(CVSS 6.5)とImage ToolのSSRF(CVSS 7.6)が含まれていました。これらのSSRFパスは、配置によって内部サービスまたはクラウドメタデータエンドポイントへのアクセスを許可する可能性があるため、中程度から高い重大度に評価されました。
アクセス制御の失敗は別の発見のクラスタを占めていました。外部イベントを受け取るように設計されたWebhookハンドラー「Telnyx」は、適切なWebhook検証(CVSS 7.5)が不足しており、信頼できないソースからの偽造されたリクエストを可能にしていました。別途、認証バイパス(CVSS 6.5)により、認証されていないユーザーが有効な認証情報なしに保護されたWebhook機能「Twilio」を呼び出すことができました。
開示では、ブラウザアップロード処理のパストトラバーサル脆弱性(CVSS割り当てなし)についても詳述されており、ファイルパスの不十分なサニタイズにより、意図したディレクトリの外への書き込みが可能になる可能性があります。
「AI駆動型分析と体系的な手動検証の組み合わせは、AIインフラストラクチャを保護するための実践的な道を提供します」と研究者らは述べています。「AIエージェントフレームワークが企業環境でより普及するにつれて、セキュリティ分析は従来の脆弱性とAI固有の攻撃面の両方に対処するために進化しなければなりません。」
データを追跡することが危険性を明かした
入力が危険な操作に到達する前に多数の変換を通過する最新のソフトウェアスタックで苦労していると報告されている「従来の静的分析」ツールの制限を克服するために、Endor Labsは、これらの変換全体でコンテキストを維持すると主張するAI SASTアプローチを実装しました。
これにより、研究者は「危険な操作がどこに存在するかだけでなく、攻撃者が制御するデータがそこに到達できるかどうか」を理解するのに役立ちました。テストエンジンは、HTTPパラメータ、設定値、または外部APIレスポンスなどのエントリーポイントから、ネットワークリクエスト、ファイル操作、またはコマンド実行などのセキュリティに敏感な「シンク」まで、「信頼できないデータ」の完全な流れをマッピングしました。
Endor Labsは脆弱性をOpenClawメンテナーに責任を持って開示し、その後に問題に対処し、研究者が技術的な詳細を公開することができたと述べています。開示は広範な軽減ガイダンスは提供されませんでしたが、修正が影響を受けたコンポーネント全体に実装されたことを述べました。
翻訳元: https://www.csoonline.com/article/4134540/six-flaws-found-hiding-in-openclaws-plumbing.html
