OpenClaw memperbaiki kerentanan parah yang memberikan akses administrator

Pengembang alat AI populer OpenClaw merilis perbaikan untuk tiga kerentanan tingkat tinggi, termasuk satu celah yang memungkinkan penyerang dengan hak akses pemasangan dasar untuk mendapatkan kontrol administratif penuh secara diam-diam. Celah tersebut, yang dilacak sebagai CVE-2026-33579 dan diberi tingkat keparahan hingga 9,8 dari 10, telah memicu kekhawatiran di kalangan pakar keamanan. Ribuan instansi yang terpapar mungkin telah disusupi tanpa disadari.

OpenClaw, sebuah alat agen AI yang diluncurkan pada bulan November dan telah mengumpulkan 347.000 bintang di GitHub, memungkinkan pengguna untuk mengotomatisasi tugas-tugas seperti pengorganisasian file, riset, dan belanja daring dengan memberikan akses luas ke komputer, aplikasi seperti Telegram, Discord, dan Slack, file jaringan, serta akun pengguna. Awal minggu ini, para pengembangnya mengeluarkan perbaikan keamanan untuk mengatasi tiga masalah kritis di tengah peringatan yang terus berlanjut dari praktisi keamanan tentang risiko sistem AI otonom yang mengendalikan sumber daya sensitif. Seorang eksekutif Meta awal tahun ini melarang alat tersebut di laptop kerja, dengan alasan ketidakpastiannya sebagai risiko pelanggaran, dengan manajer lain mengeluarkan arahan serupa. > “Dampak praktisnya sangat parah,” tulis peneliti dari pembangun aplikasi AI Blink. “Seorang penyerang yang sudah memiliki lingkup operator.pairing—izin bermakna terendah dalam penyebaran OpenClaw—dapat secara diam-diam menyetujui permintaan pemasangan perangkat yang meminta lingkup operator.admin. Setelah persetujuan itu berhasil, perangkat penyerang memiliki akses administratif penuh ke instansi OpenClaw tersebut. Tidak diperlukan eksploitasi sekunder. Tidak diperlukan interaksi pengguna selain langkah pemasangan awal.” CVE-2026-33579 berasal dari kelemahan dalam fungsi pemasangan perangkat, yang gagal memverifikasi izin pihak yang menyetujui, sehingga memungkinkan permintaan yang dibuat dengan baik untuk meningkatkan hak akses tanpa kendali. Blink mencatat bahwa 63 persen dari 135.000 instansi OpenClaw yang terpapar internet yang dipindai awal tahun ini berjalan tanpa autentikasi, memungkinkan pengunjung jaringan mana pun untuk mendapatkan akses pemasangan awal secara bebas. Perbaikan tiba pada hari Minggu, namun daftar CVE resmi baru muncul pada hari Selasa, yang berpotensi memberikan jendela eksploitasi selama dua hari bagi penyerang. Bagi organisasi yang menggunakan OpenClaw di seluruh perusahaan, perangkat admin yang disusupi dapat mengakses semua data yang terhubung, mencuri kredensial, menjalankan perintah arbitrer, dan beralih ke layanan lain, yang berujung pada pengambilalihan instansi secara penuh. Para ahli mendesak pengguna untuk meninjau log pemasangan baru-baru ini dan menilai kembali risiko dibandingkan manfaat dari alat tersebut.

Artikel Terkait

Illustration of a hacker exploiting Meta's AI chatbot to hijack Instagram accounts by changing email addresses and bypassing security.
Gambar dihasilkan oleh AI

Meta patches ai chatbot flaw used to hijack instagram accounts

Dilaporkan oleh AI Gambar dihasilkan oleh AI

Hackers exploited Meta's AI support chatbot to take over Instagram accounts by tricking it into changing associated email addresses. The vulnerability allowed password resets without two-factor authentication after matching locations via VPN. Meta resolved the issue with an emergency patch on May 29.

A writer recently attached a physical robot arm to an OpenClaw AI agent for hands-on testing.

Dilaporkan oleh AI

Windscribe has added native support for OpenClaw agentic AI in its VPN software, allowing autonomous AI agents to control VPN settings. The integration aims to separate AI-generated traffic from users' personal web activity, protecting home networks from potential issues. Company representatives described it as addressing a key privacy gap for AI users.

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

Dilaporkan oleh AI

Linux stable kernel maintainer Greg Kroah-Hartman has started using an AI-assisted fuzzing tool in a branch named 'clanker' to test the kernel codebase. The tool has already prompted fixes for vulnerabilities in subsystems like ksmbd and SMB. Patches from this effort now cover areas including USB, HID, WiFi, and networking.

Situs web ini menggunakan cookie

Kami menggunakan cookie untuk analisis guna meningkatkan situs kami. Baca kebijakan privasi kami untuk informasi lebih lanjut.
Tolak