Μια κρίσιμη ευπάθεια στο ClawHub, το δημόσιο μητρώο δεξιοτήτων για το οικοσύστημα πρακτόρων OpenClaw. Αυτό το ελάττωμα επέτρεψε στους εισβολείς να διογκώσουν τεχνητά τον αριθμό λήψης κακόβουλων δεξιοτήτων, παρακάμπτοντας έτσι τους ελέγχους ασφαλείας και χειραγωγώντας τις ταξινομήσεις αναζήτησης.
Προωθώντας μια διακυβευμένη δεξιότητα στην κορυφή, οι παράγοντες απειλών θα μπορούσαν να ενορχηστρώσουν μαζικές επιθέσεις εφοδιαστικής αλυσίδας τόσο εναντίον ανθρώπινων χρηστών όσο και κατά αυτόνομων πρακτόρων τεχνητής νοημοσύνης.
Το ClawHub λειτουργεί παρόμοια με το npm για τους πράκτορες OpenClaw, επιτρέποντας στους προγραμματιστές να δημοσιεύουν ενσωματώσεις για εργασίες όπως η διαχείριση ημερολογίου και η αναζήτηση ιστού.
Επειδή οι χρήστες και τα μοντέλα τεχνητής νοημοσύνης με μεγάλη βαρύτητα λήψης μετρούν ως μέτρηση εμπιστοσύνης, ένας διογκωμένος μετρητής λήψεων μπορεί να παρέχει την κοινωνική απόδειξη που απαιτείται για την εξαπάτηση των στόχων ώστε να εγκαταστήσουν κακόβουλο κώδικα.
.webp.jpeg)
Ευπάθεια ClawHub για χειραγώγηση κατάταξης
Η βασική αιτία αυτής της ευπάθειας προέρχεται από την εφαρμογή backend της πλατφόρμας χρησιμοποιώντας το πλαίσιο Convex.
Το Convex λειτουργεί σε ένα πληκτρολογημένο μοντέλο κλήσης απομακρυσμένης διαδικασίας (RPC) όπου οι συναρτήσεις υποστήριξης λειτουργούν ως ανεξάρτητα τελικά σημεία. Οι προγραμματιστές πρέπει να ορίσουν ρητά αυτές τις λειτουργίες υποστήριξης είτε ως εσωτερικές είτε ως δημόσιες.
Κατά την ανάλυσή τους, οι ερευνητές του Silverfort ανακάλυψαν ότι η συνάρτηση λήψεων: αύξησης εκτέθηκε κατά λάθος ως δημόσια μετάλλαξη και όχι ως εσωτερική ιδιωτική λειτουργία.
.webp.jpeg)
Αυτό το κρίσιμο σφάλμα διαμόρφωσης παρέκαμψε όλα τα επιδιωκόμενα επίπεδα επικύρωσης. Ένας εισβολέας θα μπορούσε να στείλει ένα αίτημα curl χωρίς έλεγχο ταυτότητας που στοχεύει την εκτεθειμένη διεύθυνση URL ανάπτυξης με οποιοδήποτε έγκυρο αναγνωριστικό ικανότητας.
Χωρίς μηχανισμούς ελέγχου ταυτότητας, περιορισμού ρυθμού ή κατάργησης διπλότυπων μηχανισμών, οι φορείς απειλών θα μπορούσαν να ενεργοποιούν συνεχώς το τελικό σημείο, προκαλώντας την επ’ αόριστον αύξηση της μέτρησης λήψης για μια δεδομένη ικανότητα.
Αλυσίδα επίθεσης και αντίκτυπος
Για να αποδείξει τη σοβαρότητα αυτού του ελαττώματος, ο Silverfort δημιούργησε μια επίθεση απόδειξης της ιδέας της αλυσίδας εφοδιασμού. Δημοσίευσαν μια φαινομενικά νόμιμη ικανότητα ενσωμάτωσης γραφημάτων του Outlook που περιέχει ένα κρυφό ωφέλιμο φορτίο εξαγωγής δεδομένων, μεταμφιεσμένο ως λειτουργία τηλεμετρίας.
.webp.jpeg)
Εκμεταλλευόμενοι το εκτεθειμένο τελικό σημείο RPC, οι ερευνητές πλημμύρισαν τη βάση δεδομένων του backend με αιτήματα, ωθώντας αμέσως τις κακόβουλες δεξιότητές τους στην κορυφή των αποτελεσμάτων αναζήτησης του ClawHub.
Η διογκωμένη κατάταξη εξαπάτησε επιτυχώς τόσο τους ανθρώπινους χρήστες όσο και τους αυτοματοποιημένους πράκτορες του OpenClaw που αναζητούσαν εργαλεία ημερολογίου. Μέσα σε έξι ημέρες, η παραβιασμένη ικανότητα πέτυχε 3.900 εκτελέσεις σε πενήντα παγκόσμιες πόλεις, διεισδύοντας σε πολλές δημόσιες εταιρείες.
Το ωφέλιμο φορτίο διείσδυσε αθόρυβα τα ονόματα χρηστών και τα ονόματα τομέα, υπογραμμίζοντας πόσο εύκολα οι πραγματικοί παράγοντες απειλών μπορούσαν να συλλέξουν μεταβλητές περιβάλλοντος, διακριτικά μνήμης ή τοπικά αρχεία στο πλαίσιο εκτέλεσης του πράκτορα.
Ο Silverfort αποκάλυψε υπεύθυνα την ευπάθεια στην ομάδα του OpenClaw στις 16 Μαρτίου 2026. Ο επικεφαλής προγραμματιστής Peter Steinberger και η ομάδα ασφαλείας της πλατφόρμας επέλυσαν το πρόβλημα και ανέπτυξαν μια επιδιόρθωση παραγωγής εντός 24 ωρών.
Αυτό το περιστατικό υπογραμμίζει τους κρυφούς κινδύνους ασφαλείας που σχετίζονται με την ταχεία ανάπτυξη ή την «κωδικοποίηση vibe» και τους κινδύνους από τους πράκτορες της τεχνητής νοημοσύνης να λαμβάνουν αποφάσεις αυτόνομης εγκατάστασης με βάση αποκλειστικά την κοινωνική απόδειξη.
Για να μετριαστούν οι μελλοντικές απειλές της εφοδιαστικής αλυσίδας, Η Silverfort κυκλοφόρησε το ClawNet, ένα πρόσθετο ασφαλείας ανοιχτού κώδικα για το OpenClaw.
Το ClawNet λειτουργεί σε επίπεδο χρόνου εκτέλεσης για να παρεμποδίσει τις προσπάθειες εγκατάστασης, χρησιμοποιώντας το μοντέλο γλώσσας του πράκτορα για να σαρώσει το περιεχόμενο δεξιοτήτων για κακόβουλα μοτίβα πριν επιτραπεί η εκτέλεση.
