PANews сообщил 2 марта, что китайское сообщество GoPlus выпустило раннее предупреждение о том, что OpenClaw Gateway сейчас уязвим, пожалуйста, немедленно обновите его до 2026.2.25 или позже, проведите аудит и отзыв ненужных учетных данных, API-ключей и разрешений узлов, предоставленных экземплярам агентов. Согласно анализу, OpenClaw работает через WebSocket Gateway, привязанный к локальному хосту, который служит основным координационным слоем Агента и является важной частью OpenClaw. Атака была направлена на уязвимость уровня шлюза, и было выполнено только одно условие: пользователь получил доступ к вредоносному сайту, контролируемому хакером в браузере.
Полная цепочка атак выглядит следующим образом:
- Жертва получает доступ к вредоносному сайту, контролируемому злоумышленником, в своём браузере;
- JavaScript на странице инициирует WebSocket-соединение с шлюзом OpenClaw на локальном хоста;
- После этого скрипт атаки вручную перебрал пароль шлюза сотнями попыток в секунду;
- После успешного взлома скрипт атаки тихо регистрируется как доверенное устройство.
- Злоумышленник получает административный контроль над агентом;
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Альянс развития искусственного интеллекта Китая продолжает отслеживать риски безопасности OpenClaw и разрабатывает руководство по управлению рисками развертывания на уровне предприятия
Gate News сообщает, что 12 марта Альянс по развитию индустрии искусственного интеллекта Китая продолжает отслеживать динамику угроз безопасности OpenClaw и разрабатывает руководство по управлению рисками развертывания OpenClaw на уровне предприятия.
GateNews15м назад
Tencent выпустила набор инструментов безопасности OpenClaw для борьбы с вызовами безопасности AI-агента Lobster.
Tencent запустила набор инструментов безопасности OpenClaw 12 марта, целью которого является решение проблем безопасности, вызванных AI Agent, и обеспечение многоуровневой защиты для предприятий и пользователей. Набор инструментов включает решения безопасности для облачных платформ и персональных компьютеров, поддерживает изоляцию окружения и контроль аномальных команд.
GateNews23м назад
Атака на Bonk.fun раскрывает уязвимость пользователей Solana перед сливом кошельков
Эксперты по безопасности обнаружили вредоносный код на Bonk.fun, который подвергал пользователей риску атак на опустошение кошельков.
Однако эксперты по безопасности выразили опасения, что пользователи децентрализованных сайтов остаются
TheNewsCrypto2ч назад
Платформа запуска мемкоинов BONKfun на базе Solana пострадала от взлома безопасности
Платформа запуска мемкоина BONKfun на Solana столкнулась со серьёзным нарушением безопасности, когда хакеры скомпрометировали аккаунт команды, что позволило запустить крипто-слив, затронувший пользователей, которые одобрили мошеннические переводы. Этот инцидент вызвал опасения относительно безопасности пользователей и доверия к экосистеме Solana.
BlockChainReporter2ч назад
GoPlus сканирует Top 100 Skills экосистемы ClawHub, 21% имеют явные высокорисковые операции
GoPlus опубликовала отчет 12 марта, проведя проверку безопасности 100 часто загружаемых навыков в экосистеме ClawHub. Результаты показали, что 21% были заблокированы, 17% получили предупреждения. Отчет рекомендует внедрить механизм ручного подтверждения для высокорискованных навыков с целью улучшения безопасности.
GateNews2ч назад
Уязвимость Android может позволить извлечение seed-фразы крипто-кошелька
Исследователи обнаружили уязвимость в смартфонах Android на базе MediaTek, которая позволяет злоумышленникам извлекать конфиденциальные данные менее чем за минуту, даже когда устройство выключено. Эта ошибка, затрагивающая миллионы устройств, подчеркивает риски программных крипто-кошельков по сравнению со специализированной аппаратной безопасностью.
TodayqNews2ч назад
