OpenClaw åtgärdar allvarlig sårbarhet som ger administratörsbehörighet

Utvecklarna av det populära AI-verktyget OpenClaw har släppt säkerhetsuppdateringar för tre kritiska sårbarheter, varav en gjorde det möjligt för angripare med grundläggande parkopplingsrättigheter att obemärkt få full administrativ kontroll. Säkerhetshålet, som spåras under namnet CVE-2026-33579 och har en allvarlighetsgrad på upp till 9,8 av 10, har väckt stor oro bland säkerhetsexperter. Tusentals exponerade instanser kan ha komprometterats utan att användarna märkt det.

OpenClaw, ett AI-verktyg som lanserades i november och har samlat på sig 347 000 stjärnor på GitHub, gör det möjligt för användare att automatisera uppgifter som filorganisering, forskning och näthandel genom att ge verktyget bred åtkomst till datorer, appar som Telegram, Discord och Slack, nätverksfiler och användarkonton. Tidigare i veckan utfärdade utvecklarna säkerhetsuppdateringar för att åtgärda tre kritiska brister, mitt under pågående varningar från säkerhetsexperter om riskerna med att autonoma AI-system kontrollerar känsliga resurser. En chef på Meta förbjöd tidigare i år verktyget på arbetsdatorer med hänvisning till dess oförutsägbarhet som en säkerhetsrisk, och andra chefer har utfärdat liknande direktiv. > “Den praktiska effekten är allvarlig”, skriver forskare från AI-byggaren Blink. “En angripare som redan har operator.pairing-behörighet – den lägsta meningsfulla behörigheten i en OpenClaw-installation – kan i tysthet godkänna förfrågningar om enhetsparkoppling som kräver operator.admin-behörighet. När godkännandet väl är genomfört har den angripande enheten full administrativ åtkomst till OpenClaw-instansen. Ingen sekundär exploit krävs. Ingen användarinteraktion krävs utöver det inledande parkopplingssteget.” CVE-2026-33579 härrörde från en brist i enhetens parkopplingsfunktion, som misslyckades med att verifiera den godkännande partens behörighet, vilket gjorde det möjligt för välformulerade förfrågningar att eskalera privilegier okontrollerat. Blink noterade att 63 procent av de 135 000 internetexponerade OpenClaw-instanser som skannades tidigare i år kördes utan autentisering, vilket gjorde det möjligt för vem som helst på nätverket att få parkopplingsåtkomst fritt. Uppdateringarna kom på söndagen, men den officiella CVE-listningen publicerades först på tisdagen, vilket potentiellt gav angripare ett tvådagarsfönster att utnyttja sårbarheten. För organisationer som använder OpenClaw företagsövergripande kan en komprometterad administratörsenhet komma åt all ansluten data, stjäla inloggningsuppgifter, köra godtyckliga kommandon och ta sig vidare till andra tjänster, vilket innebär att hela instansen tas över. Experter uppmanar användare att granska nyligen utförda parkopplingsloggar och omvärdera verktygets risker kontra fördelar.

Relaterade artiklar

Illustration of a hacker exploiting Meta's AI chatbot to hijack Instagram accounts by changing email addresses and bypassing security.
Bild genererad av AI

Meta patches ai chatbot flaw used to hijack instagram accounts

Rapporterad av AI Bild genererad av AI

Hackers exploited Meta's AI support chatbot to take over Instagram accounts by tricking it into changing associated email addresses. The vulnerability allowed password resets without two-factor authentication after matching locations via VPN. Meta resolved the issue with an emergency patch on May 29.

A writer recently attached a physical robot arm to an OpenClaw AI agent for hands-on testing.

Rapporterad av AI

Windscribe has added native support for OpenClaw agentic AI in its VPN software, allowing autonomous AI agents to control VPN settings. The integration aims to separate AI-generated traffic from users' personal web activity, protecting home networks from potential issues. Company representatives described it as addressing a key privacy gap for AI users.

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

Rapporterad av AI

Linux stable kernel maintainer Greg Kroah-Hartman has started using an AI-assisted fuzzing tool in a branch named 'clanker' to test the kernel codebase. The tool has already prompted fixes for vulnerabilities in subsystems like ksmbd and SMB. Patches from this effort now cover areas including USB, HID, WiFi, and networking.

Denna webbplats använder cookies

Vi använder cookies för analys för att förbättra vår webbplats. Läs vår integritetspolicy för mer information.
Avböj