A súlyos OpenClaw-hiba: bárki átvehette a weboldalak feletti irányítást
Egy friss sebezhetőség tette lehetővé, hogy rosszindulatú weboldalak teljesen átvegyék az irányítást az OpenClaw nevű, önállóan futtatható MI-platform fölött. A hibát ClawJacked néven azonosították, és az Oasis Security kutatói 2024. február 26-án jelentették be, amikorra már javítás is készült: ezt a 2024.2.26-os verzió tartalmazza.
Az MI-ügynök platformja veszélyben
Az OpenClaw népszerűségét annak köszönheti, hogy MI-alapú ügynököket működtet, amelyek önállóan képesek üzeneteket küldeni, parancsokat végrehajtani és összetett feladatokat kezelni számos platformon. Alapértelmezés szerint az OpenClaw a localhosthoz kapcsolódik egy webes felületen keresztül, amelyet sajnos könnyedén ki lehetett használni. A böngészők azonos eredetű házirendje ugyanis nem akadályozza, hogy egy rosszindulatú weboldal JavaScript-kódja a felhasználó gépéről közvetlenül csatlakozzon az OpenClaw helyi szerveréhez, onnan pedig megkísérelje a bejelentkezést – felhasználói figyelmeztetés nélkül.
Jelszavak pár másodperc alatt feltörhetők voltak
Az OpenClaw ugyan tartalmaz korlátozásokat a jelszópróbálgatás lelassítására, de a helyi, 127.0.0.1-es címet kivételként kezeli, emiatt a támadók több száz próbálkozást indíthattak másodpercenként. Ha sikerült eltalálni a jelszót, az illetéktelen gép automatikusan megbízható eszközként regisztrálódott, külön értesítés és felhasználói jóváhagyás nélkül. Így akár percek alatt teljes hozzáférést szerezhettek az MI-rendszerhez, amellyel titkos adatok, hozzáférési adatok, platformlisták és naplófájlok is kinyerhetők voltak. Ugyanakkor a támadó érzékeny üzenetarchívumokat vagy adatokat is letölthetett, programokat futtathatott a háttérben, és akár az egész gép fölött átvehette az irányítást.
Azonnali frissítés kötelező
Úgy tűnik, az OpenClaw csapata gyorsan reagált: 24 órán belül elkészült a javítás, amely szigorította a WebSocket-kapcsolatok biztonsági ellenőrzéseit, és megakadályozza a jelszófeltörés kikerülését még helyi kapcsolaton keresztül is. Azoknak, akik OpenClaw-t üzemeltetnek, azonnali frissítésre van szükség, különben továbbra is fennáll a veszélye, hogy egy ártalmatlan böngészés közben teljes MI-munkaállomásokat veszítsenek el. Az MI-platform népszerűsége egyben a támadók figyelmét is magára vonzza – több, ismeretlen eredetű, adatszivárogtató vagy készüléket kompromittáló kiegészítő is felbukkant már a rendszerben.
🚀 Egy közeli, fiatal csillagot sikerült megfigyelni, amint egy gázbuborék, az úgynevezett asztroszféra veszi körül – ilyen jelenséget eddig még nem sikerült lencsevégre kapni a Naprendszeren kívül, Naphoz hasonló csillag esetében...
📱 A várva várt Motorola Razr Fold végre bemutatkozott az MWC-n: a gyártó első, könyvszerűen hajtogatható prémium telefonja az üzleti és kreatív felhasználókat célozza meg...
🧠 Mindenki emlékszik arra a jelenetre, amikor Matt Damon MIT-es takarítóként egy bonyolultnak tűnő matematikai feladvánnyal szembesül A zseniben (Good Will Hunting)...
A lift mozgása minden alkalommal megbolygatja a testérzeteket. Ahogy a füledben felkúszik a nyomás, a talpad alatt a padló keményebben feszül alád, vagy épp ellenkezőleg: hirtelen könnyebbnek érzed magad...
A március elképesztő lehetőséget tartogat az északi fény megfigyelésére, hiszen évtizedek óta nem volt ilyen kedvező egybeesés a csillagászati körülmények és a naptevékenység szempontjából...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Four Last Things (iPhone/iPad)A Four Last Things egy egyedülálló point-and-click kalandjáték, amelynek különleges hangulatát a reneszánsz mesterművekből összeállított látványvilág adja...
Érdekes felvetés, hogy a kutatók a csokoládégyártás során keletkező kakaóbabhéjat és a brazil őshonos méhek mézét úgy keverték össze, hogy a végeredmény egy csokoládés, antioxidánsban gazdag szuperméz lett...
Az Alzheimer-kór évről évre több áldozatot szed, mint a mell- és prosztatarák együttvéve, ezért a kutatók egyre intenzívebben keresik a betegség valódi okait...
A Lenovo bemutatta a Legion Go Fold nevű hibrid játékkonzol- és laptopkoncepcióját, amely merészen ötvözi a kézi konzolok és a hordozható számítógépek előnyeit...
Különösen igaz ez akkor, ha otthonunkban egyre több digitális eszköz vesz körül minket: most a Samsung okostévéi kerültek a figyelem középpontjába Texas államban...
🦅 A Magic V6 a hajlítható telefonok új sztárja: 8,75 mm vastagságával összehajtott állapotban a legvékonyabb a népszerű gyártók könyvszerű modelljei között...
Felpörögtek az MI-videók, a Seedance 2.0-nak (csináld ránk, TikTok, Kína!) hála már mindenféle Instagram-posztok, TikTokok és YouTube-shortok ultrarealisztikus kamukkal bombáznak, és úgy fulladunk bele az alternatív valóságba, mint a legkínosabb internetes összeesküvés-hívők...
Többek között elképesztő kameratechnológiát, látványos dizájnt és remek processzort kínál a Xiaomi új Leitzphone készüléke, amely látványosan összeforrt a legendás német Leica fotómárkával...
Majdnem egymillió amerikai veterán adatai alapján világosan látszik, hogy ha valaki egyszerre küzd álmatlansággal és alvási apnoéval, sokkal nagyobb eséllyel alakul ki nála magas vérnyomás és szívbetegség, mintha csak az egyik problémával élne...
A graffiti készítése eddig rengeteg különböző színű festékes dobozt igényelt, ami nemcsak kényelmetlen, de egyúttal korlátozza is a művészek kreativitását...
Többek között az idős emberek közötti nagy különbségek okaira világít rá egy új kutatás, amely meglepő felfedezést tett: azok, akik idősebb korukban is kivételes memóriával rendelkeznek, lényegesen több fiatal idegsejttel rendelkeznek, mint hasonló korú társaik...
💰 Fontos kérdés, hogy mennyit ér ma az információ, amikor a háború kitörésekor másodperceken belül elözönlik a prognózisok a kriptopénzek világát, és a geopolitikai eseményekre tett fogadások szinte azonnal rekordokat döntenek...
💰 Döbbenetes baklövést követett el Dél-Korea adóhatósága, amikor egy sikeres lefoglalási akciót követően véletlenül nyilvánosságra hozta egy digitális pénztárca helyreállító kulcsát...
