360 Alerte : OpenClaw présente une vulnérabilité critique pouvant entraîner la fuite de données de plus de 50 pays dépassant 170 000 instances
Récemment, le groupe de sécurité numérique 360 a révélé que son système de détection de vulnérabilités collaboratif multi-agents, développé en interne, a découvert une vulnérabilité critique sur la plateforme d'agents intelligents open source OpenClaw ;
Cette vulnérabilité, nommée « MEDIA protocole Outil de contournement d'injection de prompt fuite de fichiers locaux », a été officiellement confirmée par la base de données nationale des vulnérabilités en matière de sécurité de l'information (CNNVD).
Selon le document divulgué, cette vulnérabilité existe dans le module de traitement multimédia central de la version 2026.3.13 d'OpenClaw, présentant trois caractéristiques principales : un seuil d'attaque bas, un large périmètre d'impact et un degré de danger élevé.
Le risque central de la vulnérabilité réside dans le fait que le protocole MEDIA fonctionne au niveau de traitement post-sortie, pouvant complètement contourner le contrôle des politiques d'outils de la plateforme. En termes simples, même si l'Agent désactive tous les appels d'outils, un attaquant peut lancer une attaque uniquement avec les droits de membre de base de la discussion de groupe et voler des informations sensibles du serveur.
Selon l'évaluation, cette vulnérabilité a un large périmètre d'impact, couvrant plus de 50 pays et régions à l'échelle mondiale, avec plus de 170 000 instances OpenClaw accessibles au public faisant face à des risques de sécurité. Actuellement, 360 a terminé de manière indépendante la validation de la chaîne d'attaque de la vulnérabilité et a fourni des recommandations de correction à la plateforme.
La découverte de cette vulnérabilité confirme également le jugement antérieur du fondateur de 360, Zhou Hongyi. À savoir que l'ère des agents a rendu les scans de vulnérabilités traditionnels obsolètes, les agents hackers pouvant attaquer automatiquement 7×24 heures, l'industrie de la sécurité passant d'un affrontement entre humains à une confrontation asymétrique entre hommes et machines.
En résumé, les vulnérabilités de sécurité évoquées montrent qu'avec le développement rapide de la technologie des agents, les risques de sécurité s'étendent rapidement du niveau du modèle au niveau de l'interface, de la chaîne d'appel de compétences et du niveau des droits système, soulignant également l'urgence d'établir un système de protection de sécurité complet.
Globalement, les défis de sécurité à l'ère des agents se sont étendus d'un aspect unique à l'ensemble de la pile technologique, nécessitant que les fournisseurs de sécurité, les développeurs de plateforme et les utilisateurs construisent ensemble des mécanismes de protection de sécurité plus complets pour garantir le développement sain de la technologie des agents.