Tugann staidéar nua foláireamh go bhfuil Openclaw ag tabhairt aghaidh ar thitim slándála sistéamach tar éis do thaighdeoirí leochaileachtaí criticiúla, síneadh ionfhabhtaithe le malware, agus rioscaí insteallta leid a aimsiú a ligeann d’ionsaitheoirí sonraí a ghoid nó córais a fhuadach.
Staidéar: Saothrú Criticiúil in Openclaw a Ligeann Gabháil Iomlán Riaracháin
SCRÍOFA AG
COMHROINN
An Míthuiscint faoin “Timpeallacht Iontaofa”
Ar an 31 Márta, tharraing staidéar ón gcomhlacht slándála Web3 Certik an imbhalla siar ar “thitim sistéamach” teorainneacha slándála laistigh de Openclaw, ardán intleachta saorga (AI) foinse oscailte. In ainneoin a ardú tapa go dtí breis agus 300,000 réalta ar Github, tá níos mó ná 100 CVE agus 280 fógra slándála carntha ag an gcreat i gceann ceithre mhí, rud a chruthaíonn, dar leis na taighdeoirí, dromchla ionsaithe “gan teorainn”.
Leagann an tuarascáil béim ar locht bunúsach ailtireachta: dearadh Openclaw ar dtús do “thimpeallachtaí iontaofa áitiúla.” Mar sin féin, de réir mar a phléasc tóir an ardáin, thosaigh úsáideoirí á imscaradh ar fhreastalaithe atá oscailte don idirlíon—aistriú nár bhí an bogearra feistithe lena láimhseáil riamh.
De réir na tuarascála staidéir, d’aithin taighdeoirí roinnt pointí teipe ardriosca a chuireann sonraí úsáideoirí i mbaol, lena n-áirítear an leochaileacht chriticiúil, CVE-2026-25253, a ligeann d’ionsaitheoirí smacht riaracháin iomlán a ghabháil. Trí úsáideoir a mhealladh chun cliceáil ar nasc mailíseach amháin, is féidir le hacairí comharthaí fíordheimhnithe a ghoid agus an gníomhaire AI a fhuadach.
Idir an dá linn, nocht scananna domhanda níos mó ná 135,000 ásc Openclaw atá nochtaithe don idirlíon ar fud 82 tír. Bhí fíordheimhniú díchumasaithe de réir réamhshocraithe ag go leor díobh seo, rud a sceitheadh eochracha API, stair chomhráite agus dintiúir íogaire i ngnáth-théacs. Deir an tuarascáil freisin go bhfuil stór an ardáin do “scileanna” a roinneann úsáideoirí treáite ag malware agus gur aimsíodh na céadta de na síneadh seo ag pacáistiú infostealers atá deartha chun pasfhocail shábháilte agus sparán criptea-airgeadra a shú amach.
Ina theannta sin, tá ionsaitheoirí anois ag cur treoracha mailíseacha i bhfolach laistigh d’íomhphoist agus de leathanaigh ghréasáin. Nuair a phróiseálann an gníomhaire AI na doiciméid seo, is féidir iallach a chur air comhaid a eis-scagadh nó orduithe neamhúdaraithe a rith gan eolas an úsáideora.
“Tá Openclaw ina chás-staidéar ar an méid a tharlaíonn nuair a stopann samhlacha móra teanga de bheith ina gcórais chomhrá scoite agus a thosaíonn ag gníomhú taobh istigh de thimpeallachtaí fíor,” a dúirt príomh-iniúchóir ó Penligent. “Comhthiomsaíonn sé lochtanna clasaiceacha bogearraí isteach i runtime le húdarás ard tarmligthe, rud a fhágann go bhfuil ga pléasctha aon fhabht amháin ollmhór.”
Moltaí Maolaithe agus Sábháilteachta
Mar fhreagra ar na torthaí seo, tá saineolaithe ag impí cur chuige “slándáil ar dtús” do fhorbróirí agus d’úsáideoirí deiridh araon. Do fhorbróirí, molann an staidéar samhlacha foirmiúla bagairtí a bhunú ón gcéad lá, leithlisiú diana sandbox a fhorfheidhmiú agus a chinntiú go n-oidhreoidh aon fho-phróiseas a ghintear le AI ceadanna docht, dosháraithe, ar phribhléid íseal amháin.
D’úsáideoirí fiontraíochta, moltar do fhoirne slándála uirlisí braite agus freagartha ag críochphointí (EDR) a úsáid chun suiteálacha neamhúdaraithe Openclaw a aimsiú laistigh de líonraí corparáideacha. Ar an láimh eile, spreagtar úsáideoirí aonair an uirlis a rith go heisiach i dtimpeallacht sandboxed gan rochtain ar shonraí táirgeachta. Thar aon rud eile, ní mór d’úsáideoirí nuashonrú go leagan 2026.1.29 nó níos déanaí chun lochtanna forghníomhaithe cóid chianda (RCE) atá ar eolas a phaisteáil.
Scileanna Openclaw AI Leochaileach i leith Dúshaothrú Mailíseach, tugann taighdeoirí Certik rabhadh
Fuair taighdeoirí Certik amach gur féidir le síntí tríú páirtí mailíseacha a “scanadh scileanna” agus a mhodhnóireacht bunaithe ar IS a sheachaint. read more.
Léigh anois
Scileanna Openclaw AI Leochaileach i leith Dúshaothrú Mailíseach, tugann taighdeoirí Certik rabhadh
Fuair taighdeoirí Certik amach gur féidir le síntí tríú páirtí mailíseacha a “scanadh scileanna” agus a mhodhnóireacht bunaithe ar IS a sheachaint. read more.
Léigh anoisScileanna Openclaw AI Leochaileach i leith Dúshaothrú Mailíseach, tugann taighdeoirí Certik rabhadh
Léigh anoisFuair taighdeoirí Certik amach gur féidir le síntí tríú páirtí mailíseacha a “scanadh scileanna” agus a mhodhnóireacht bunaithe ar IS a sheachaint. read more.
Cé gur chomhpháirtigh forbróirí Openclaw le Virustotal le déanaí chun scileanna uaslódáilte a scanadh, tugann taighdeoirí Certik foláireamh nach “réiteach draíochta” é seo. Go dtí go sroicheann an t-ardán céim slándála níos cobhsaí, is é comhaontú an tionscail é an bogearra a láimhseáil mar rud atá neamhiontaofa ó dhúchas.
Ceisteanna Coitianta ❓
- Cad é Openclaw? Is creat AI foinse oscailte é Openclaw a d’fhás go tapa go 300,000+ réalta ar GitHub.
- Cén fáth go bhfuil sé riosca? Tógadh é le haghaidh úsáide áitiúla iontaofa ach tá sé imscartha go forleathan ar líne anois, ag nochtadh lochtanna móra.
- Cén bagairtí atá ann? CVEanna criticiúla, síneadh ionfhabhtaithe le malware, agus 135,000+ ásc nochtaithe ar fud 82 tír.
- Conas is féidir le húsáideoirí fanacht sábháilte? Rith i dtimpeallachtaí sandboxed amháin agus nuashonraigh go leagan 2026.1.29 nó níos déanaí.
