Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
La faille ClawJacked permet à des sites malveillants de détourner les agents OpenClaw AI locaux via WebSocket
The Hacker News - TheHackerNews -
28/02
OpenClaw corrige la faille ClawJacked, le bug d'empoisonnement des journaux et plusieurs CVE alors que 71 compétences malveillantes de ClawHub propagent des logiciels malveillants et des escroqueries cryptographiques.
OpenClaw a résolu un problème de sécurité de haute gravité qui, s'il avait été exploité avec succès, aurait pu permettre à un site Web malveillant de se connecter à un agent d'intelligence artificielle (IA) exécuté localement et d'en prendre le contrôle.
"Notre vulnérabilité réside dans le système principal lui-même – pas de plugins, pas de marché, pas d'extensions installées par l'utilisateur – juste la simple passerelle OpenClaw, fonctionnant exactement comme documenté", a déclaré Oasis Security dans un rapport publié cette semaine.
La faille a été baptisée ClawJacked par la société de cybersécurité.
L'attaque suppose le modèle de menace suivant : un développeur fait installer et exécuter OpenClaw sur son ordinateur portable, avec sa passerelle, un serveur WebSocket local, lié à localhost et protégé par un mot de passe. L’attaque se déclenche lorsque le développeur atterrit sur un site Web contrôlé par un attaquant via l’ingénierie sociale ou tout autre moyen.
La séquence d'infection suit ensuite les étapes ci-dessous -
Un JavaScript malveillant sur la page Web ouvre une connexion WebSocket à localhost sur le port de la passerelle OpenClaw.
Le script force brutalement le mot de passe de la passerelle en tirant parti d'un mécanisme de limitation de débit manquant.
Après une authentification réussie avec des autorisations de niveau administrateur, le script s'enregistre furtivement en tant que périphérique de confiance, qui est automatiquement approuvé par la passerelle sans aucune invite de l'utilisateur.
L'attaquant prend le contrôle total de l'agent IA, lui permettant d'interagir avec lui, de vider les données de configuration, d'énumérer le... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité