OpenClaw Corrige une Élévation de Privilèges Critique dans le Chemin d'Approbation /pair

Correctif de sécurité pour la couche d'appel d'outils OpenClaw
OpenClaw a publié la version 2026.3.28 pour corriger une vulnérabilité critique d'élévation de privilèges découverte par Ant AI Security Lab. Cela concerne les utilisateurs exécutant OpenClaw comme couche d'appel d'outils pour les LLM locaux.
Détails de la vulnérabilité
La vulnérabilité se trouvait dans le chemin de la commande /pair approve. Plus précisément, lors de l'approbation d'un périphérique, le système n'a pas transmis les portées de l'appelant à la vérification principale d'approbation. Cela permettait à un utilisateur disposant de privilèges d'appairage (mais pas de privilèges administrateur) d'approuver une demande de périphérique en attente qui demandait des portées plus larges, y compris l'accès administrateur.
Informations sur les versions
- Versions affectées : OpenClaw <= 2026.3.24
- Version corrigée : OpenClaw >= 2026.3.28
Implications de sécurité
Cette vulnérabilité est particulièrement pertinente pour toute personne exécutant des LLM locaux avec accès aux outils via OpenClaw. Si un modèle est victime d'une injection d'invite et peut émettre des commandes en votre nom, c'est exactement le type de chemin qui pourrait être exploité pour obtenir des privilèges élevés.
L'identifiant de l'avis est GHSA-hc5h-pmr3-3497, et l'avis de sécurité complet est disponible sur GitHub.
📖 Read the full source: r/openclaw
👀 See Also

Pic de sévérité des CVE après la sortie de la prévisualisation du Mythe de Claude — Données Epoch AI
Epoch AI signale un bond de 3,5x des CVE de sévérité haute et critique en juin 2026, après l'annonce par Anthropic de Claude Mythos Preview et du Projet Glasswing.

Développeur Construit un Bac à Sable Firecracker MicroVM pour la Sécurité OpenClaw
Un développeur préoccupé par la sécurité des LLM a construit un bac à sable bare-metal en utilisant des microVMs Firecracker pour isoler les scripts OpenClaw, chaque script s'exécutant dans son propre noyau Linux avec une limite de 128 Mo de RAM et sans réseau par défaut.

OpenObscure : Pare-feu de confidentialité open-source pour agents IA fonctionnant sur l'appareil
OpenObscure est un pare-feu de confidentialité open-source et sur appareil qui s'intercale entre les agents d'IA et les fournisseurs de LLM. Il utilise le chiffrement FF1 à préservation de format avec AES-256 pour chiffrer les données personnelles avant que les requêtes ne quittent votre appareil, préservant la structure des données tout en protégeant la vie privée.

Publicité Google malveillante ciblant l'installation du code Claude
Une publicité Google malveillante apparaît comme premier résultat pour les recherches 'install claude code', tentant de tromper les utilisateurs pour qu'ils exécutent des commandes terminal suspectes. La publicité était toujours active au 15 mars 2026, et l'auteur a évité de justesse d'exécuter le code.