Er zijn details bekendgemaakt over drie inmiddels gepatchte beveiligingslekken in de OpenClaw persoonlijke AI-assistent. Bij succesvolle exploitatie kunnen deze kwetsbaarheden leiden tot diefstal van inloggegevens, privilege-escalatie en het uitvoeren van willekeurige code op het host-systeem.
De drie kwetsbaarheden betreffen onder meer een operating system command injection en een onvolledige lijst van geblokkeerde invoerwaarden in het filtermechanisme van de host-executieomgeving (GHSA-hjr6-g723-hmfm en GHSA-9969-8g9h-rxwm), evenals een path traversal en link following kwetsbaarheid die sandbox bind mounts kan omzeilen (GHSA-575v-8hfq-m3mc). Deze laatste maakt het mogelijk om beveiligingscontroles te omzeilen door parent-directory bypass, waardoor bijvoorbeeld toegang tot gevoelige mappen als ~/.ssh en ~/.aws kan worden verkregen.
De kwetsbaarheden zijn opgelost in OpenClaw versie 2026.6.6. Volgens de beheerders hangt de praktische impact af van de configuratie en of minder betrouwbare input het kwetsbare pad kan bereiken. De beveiligingsonderzoeker Chinmohan Nayak, die de problemen ontdekte, rapporteerde dat deze bugs kunnen worden misbruikt om vanaf een externe WhatsApp-bericht code op de host uit te voeren. Dit in tegenstelling tot eerdere Claw Chain kwetsbaarheden, waarbij een aanvaller eerst een voet aan de grond moest krijgen.
Nayak legt uit dat de bind mount denylist directories zoals ~/.ssh, ~/.aws en ~/.gnupg blokkeert, maar het mounten van de bovenliggende directories /home of /var toestaat. Hierdoor kunnen bijvoorbeeld SSH-sleutels, AWS-credentials en GPG-secrets worden uitgelezen, of kan via de Docker socket volledige host-ontsnapping plaatsvinden vanuit de sandbox. Naast het updaten van OpenClaw wordt geadviseerd sandboxmodus te activeren voor alle niet-hoofd sessies, het verwijderen van "exec" uit de tool allowlist voor kanaalgerichte agents en het monitoren van git clone commando's met het "ext::" protocol dat kan worden misbruikt voor het uitvoeren van willekeurige systeemopdrachten.
OpenClaw raadt aan om voor het upgraden de kwetsbare functionaliteit te beperken tot vertrouwde operators of deze uit te schakelen indien niet nodig. Verder adviseert men om de kanaal- en tool allowlists zo smal mogelijk te houden, geen gedeelde Gateway te gebruiken tussen niet-vertrouwde gebruikers en de kwetsbare functies uit te schakelen wanneer ze niet vereist zijn.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *