マース・ファイナンスのニュース。3月31日、360デジタルセキュリティグループからの情報として、同社が自社開発した「360多智能体協調型脆弱性発掘システム」がOpenClawプラットフォーム内で、高危険度の脆弱性1件を見つけたことが判明した――MEDIAプロトコルのPromptインジェクションによりツール権限を回避してローカルファイルを漏えいさせる脆弱性である。 この脆弱性は、国家情報セキュリティ脆弱性データベース(CNNVD)により正式に確認されており、影響範囲は世界50以上の国・地域に及ぶ。さらに、一般に公開されてアクセス可能なOpenClawインスタンスは17万件超が安全リスクに直面している。 報道によれば、この脆弱性の中核的なリスクは、MEDIAプロトコルが出力後処理レイヤー上で動作するため、プラットフォームのツール戦略の制御を完全に回避できる点にある。たとえAgentがすべてのツール呼び出しを無効化していても、攻撃者はグループチャットの基本メンバー権限のみで攻撃を開始でき、サーバー上の機密情報を直接窃取できるため、後続のネットワーク攻撃を引き起こしやすい。 (国是直通車)
360インテリジェンスがOpenClawの深刻な脆弱性を発見、世界中の17万件の事例に影響の可能性
マース・ファイナンスのニュース。3月31日、360デジタルセキュリティグループからの情報として、同社が自社開発した「360多智能体協調型脆弱性発掘システム」がOpenClawプラットフォーム内で、高危険度の脆弱性1件を見つけたことが判明した――MEDIAプロトコルのPromptインジェクションによりツール権限を回避してローカルファイルを漏えいさせる脆弱性である。 この脆弱性は、国家情報セキュリティ脆弱性データベース(CNNVD)により正式に確認されており、影響範囲は世界50以上の国・地域に及ぶ。さらに、一般に公開されてアクセス可能なOpenClawインスタンスは17万件超が安全リスクに直面している。 報道によれば、この脆弱性の中核的なリスクは、MEDIAプロトコルが出力後処理レイヤー上で動作するため、プラットフォームのツール戦略の制御を完全に回避できる点にある。たとえAgentがすべてのツール呼び出しを無効化していても、攻撃者はグループチャットの基本メンバー権限のみで攻撃を開始でき、サーバー上の機密情報を直接窃取できるため、後続のネットワーク攻撃を引き起こしやすい。 (国是直通車)