Les chercheurs affirment qu’un scanner de code alimenté par l’IA a retracé les données non fiables à travers les couches d’OpenClaw, exposant des faiblesses exploitables, notamment SSRF, le contournement d’authentification et la traversée de chemin.
Les chercheurs en sécurité ont découvert six failles de niveau élevé à critique affectant le cadre d’agents d’IA open source OpenClaw, communément appelé « média social pour agents d’IA ». Les failles ont été découvertes par Endor Labs alors que ses chercheurs exécutaient la plate-forme via un moteur de test de sécurité des applications statiques (SAST) piloté par l’IA, conçu pour suivre la manière dont les données se déplacent réellement via le logiciel d’IA agentique.
Les bogues couvrent plusieurs catégories de sécurité Web, notamment la falsification de requêtes côté serveur (SSRF), l’authentification webhook manquante, les contournements d’authentification et la traversée de chemin, affectant le système agentique complexe qui combine de grands modèles de langage (LLM) avec l’exécution d’outils et des intégrations externes.
Les chercheurs ont également publié des exploits de preuve de concept pour chacune des failles, confirmant ainsi l’exploitabilité dans le monde réel. OpenClaw a publié des correctifs et des avis de sécurité pour ces problèmes.
Les défauts incluaient les chemins SSRF, le contournement d’authentification et les échappements de fichiers
La divulgation d’Endor Labs a caractérisé les six vulnérabilités OpenClaw par type de faiblesse et gravité individuelle plutôt que par identifiants CVE.
Plusieurs des problèmes sont des bogues SSRF affectant différents outils, notamment un composant de passerelle (CVSS 7.6) qui accepte les URL fournies par l’utilisateur pour établir des connexions WebSocket sortantes. Les deux autres comprenaient un SSRF dans Urbit Authentication (CVSS 6.5) et un Image Tool SSRF (CVSS 7.6). Ces chemins SSRF ont été classés comme étant de gravité moyenne à élevée, car ils pouvaient permettre l’accès aux services internes ou aux points de terminaison de métadonnées cloud, en fonction du déploiement.
Les échecs du contrôle d’accès représentaient un autre groupe de résultats. Un gestionnaire de webhook « Telnyx » conçu pour recevoir des événements externes ne disposait pas d’une vérification de webhook appropriée (CVSS 7.5), ce qui permettait de fausses requêtes provenant de sources non fiables. Par ailleurs, un contournement d’authentification (CVSS 6.5) permettait aux utilisateurs non authentifiés d’invoquer une fonctionnalité de webhook protégée « Twilio » sans informations d’identification valides.
La divulgation détaille également une vulnérabilité de traversée de chemin (CVSS non attribué) dans la gestion du téléchargement du navigateur, où une désinfection insuffisante des chemins de fichiers pourrait permettre des écritures en dehors des répertoires prévus.
« La combinaison de l’analyse basée sur l’IA et de la validation manuelle systématique offre une voie pratique pour sécuriser l’infrastructure de l’IA », ont déclaré les chercheurs. « À mesure que les cadres d’agents IA deviennent de plus en plus répandus dans les environnements d’entreprise, l’analyse de sécurité doit évoluer pour répondre à la fois aux vulnérabilités traditionnelles et aux surfaces d’attaque spécifiques à l’IA. »
Le suivi des données a révélé le danger
Pour surmonter les limites des outils « d’analyse statique traditionnelle » qui auraient du mal avec les piles logicielles modernes où les entrées subissent de nombreuses transformations avant d’atteindre des opérations risquées, Endor Labs a mis en œuvre l’approche AI SAST, qui, selon elle, maintient le contexte tout au long de ces transformations.
Cela a aidé les chercheurs à comprendre « non seulement où se déroulent les opérations dangereuses, mais également si les données contrôlées par les attaquants peuvent les atteindre ». Le moteur de test a cartographié le parcours complet des « données non fiables », depuis les points d’entrée tels que les paramètres HTTP, les valeurs de configuration ou les réponses d’API externes jusqu’aux « puits » sensibles à la sécurité, comme les requêtes réseau, les opérations sur les fichiers ou l’exécution de commandes.
Endor Labs a déclaré avoir divulgué les vulnérabilités de manière responsable aux responsables d’OpenClaw, qui ont ensuite résolu les problèmes, permettant aux chercheurs de publier des détails techniques. La divulgation ne fournissait pas d’indications détaillées en matière d’atténuation, mais indiquait que des correctifs avaient été mis en œuvre dans les composants concernés.
