OpenClaw Corrige une Élévation de Privilèges Critique dans le Chemin d'Approbation /pair
Correctif de sécurité pour la couche d'appel d'outils OpenClaw
OpenClaw a publié la version 2026.3.28 pour corriger une vulnérabilité critique d'élévation de privilèges découverte par Ant AI Security Lab. Cela concerne les utilisateurs exécutant OpenClaw comme couche d'appel d'outils pour les LLM locaux.
Détails de la vulnérabilité
La vulnérabilité se trouvait dans le chemin de la commande /pair approve. Plus précisément, lors de l'approbation d'un périphérique, le système n'a pas transmis les portées de l'appelant à la vérification principale d'approbation. Cela permettait à un utilisateur disposant de privilèges d'appairage (mais pas de privilèges administrateur) d'approuver une demande de périphérique en attente qui demandait des portées plus larges, y compris l'accès administrateur.
Informations sur les versions
- Versions affectées : OpenClaw <= 2026.3.24
- Version corrigée : OpenClaw >= 2026.3.28
Implications de sécurité
Cette vulnérabilité est particulièrement pertinente pour toute personne exécutant des LLM locaux avec accès aux outils via OpenClaw. Si un modèle est victime d'une injection d'invite et peut émettre des commandes en votre nom, c'est exactement le type de chemin qui pourrait être exploité pour obtenir des privilèges élevés.
L'identifiant de l'avis est GHSA-hc5h-pmr3-3497, et l'avis de sécurité complet est disponible sur GitHub.
📖 Read the full source: r/openclaw
👀 See Also
Audit de Sécurité Révèle que les Serveurs de Référence MCP d'Anthropic sont Vulnérables, Introduit des Vulnérabilités Basées sur des Hallucinations
Un audit de sécurité de 100 packages de serveurs MCP a révélé que 71 % ont obtenu la note F, y compris les implémentations de référence officielles d'Anthropic sur GitHub et pour les systèmes de fichiers. L'audit a identifié des vulnérabilités basées sur les hallucinations qui créent des failles de sécurité et gaspillent des jetons via des boucles de raisonnement.
pi-gouvernance : RBAC, DLP et journalisation d'audit pour les agents de codage OpenClaw
pi-governance est un plugin qui s'interpose entre les agents d'IA de codage et votre système, classifiant les appels d'outils et bloquant les opérations risquées. Il fournit le blocage des commandes bash, l'analyse DLP pour les secrets et les données personnelles, le contrôle d'accès basé sur les rôles, et la journalisation d'audit structurée sans configuration.
ThornGuard : Une passerelle proxy pour sécuriser les connexions aux serveurs MCP contre les injections de prompt
ThornGuard est un proxy qui s'interpose entre les clients MCP et les serveurs en amont, analysant le trafic à la recherche de modèles d'injection, supprimant les données personnelles identifiables (PII) et enregistrant les événements dans un tableau de bord. Il a été développé après que des tests aient révélé des vulnérabilités où les serveurs pouvaient intégrer des instructions cachées dans les réponses des outils.
L'analyse de sécurité révèle une vulnérabilité de haute gravité dans l'outil de recherche de compétences de l'agent IA.
Un développeur effectuant une analyse de sécurité sur sa configuration d'agent IA a découvert une vulnérabilité de haute gravité dans l'outil find-skills qu'il utilisait pour installer des compétences supplémentaires, soulevant des inquiétudes quant à la sécurité de l'écosystème.