Nyilvánosságra hozták három, már javított biztonsági hibáról a részleteket az OpenClaw személyi mesterséges intelligencia (MI) asszisztensben. Sikeres kihasználásuk esetén ezek lehetővé tehették hitelesítő adatok ellopását, jogosultságkiterjesztést és tetszőleges kódfuttatást a host rendszeren.
A magas súlyosságú sebezhetőségek röviden:
- GHSA-hjr6-g723-hmfm (CVSS pontszám: 8,8) – operációs rendszer parancsbefecskendezés és hiányos tiltólista a bemenetekre, amely a host futtatási környezet szűrési mechanizmusát érinti. Lehetővé teheti, hogy a hívó által engedélyezettnél szélesebb jogosultsággal hajtsanak végre vagy tartsanak fenn műveleteket.
- GHSA-9969-8g9h-rxwm (CVSS pontszám: 8,8) – operációs rendszer parancsbefecskendezés és hiányos tiltólista a bemenetekre, amely a host futtatási környezet szűrési mechanizmusát érinti. Lehetővé teheti, hogy a hívó által engedélyezettnél szélesebb jogosultsággal hajtsanak végre vagy tartsanak fenn műveleteket.
- GHSA-575v-8hfq-m3mc (CVSS pontszám: 8,4) – útvonalbejárási és hivatkozáskövetési sebezhetőség, amely lehetővé teheti, hogy a sandbox bind mountok megkerüljék a szülőkönyvtárak tiltólistás ellenőrzését, és olyan műveleteket hajtsanak végre, amelyeket erősebb jogosultság- vagy házirend-ellenőrzéssel kellett volna védeni.
Mindhárom problémát javították az OpenClaw 2026.6.6 verziójában.

A múlt héten kiadott figyelmeztetéssorozatban az OpenClaw karbantartói azt írták, hogy „a gyakorlati hatás az üzemeltető konfigurációjától függ, és attól, hogy az alacsonyabb tRust bemenet eljut-e ahhoz az útvonalhoz”.
Ugyanakkor Chinmohan Nayak biztonsági kutató, akinek a nevéhez fűződik a problémák felfedezése és bejelentése, a The Hacker News számára megosztott jelentésben azt mondta, hogy a hibákat fel lehet használni arra, hogy egy WhatsAppon érkező külső üzenetből host oldali kódfuttatást indítsanak.
A Cyera által májusban nyilvánosságra hozott Claw Chain sebezhetőségekkel ellentétben az újonnan azonosított hibák nem igénylik, hogy a támadó előzetesen megvesse a lábát a rendszerben ahhoz, hogy érzékeny adatokat szerezzen meg, tartós hátsó kaput telepítsen, tetszőleges távoli kódot futtasson, vagy kitörjön a host rendszerre.

„A getBlockedReasonForSourcePath() azt ellenőrzi, hogy a forrásútvonal egy tiltott útvonal alatt van-e” – magyarázta a kutató a GHSA-575v-8hfq-m3mc kapcsán. „De soha nem nézi meg az ellenkező irányt: hogy egy tiltott útvonal a forrás alatt van-e (szülőkönyvtár megkerülése).”
Konkrétan a bind mount tiltólista olyan könyvtárakat blokkol, mint a „~/.ssh”, „~/.aws” és „~/.gnupg”, de engedi a szülőkönyvtár, például a „/home” vagy a „/var” csatolását, ami gyakorlatilag hatástalanítja az egyes könyvtárak külön blokkolását.
„Csatold be a /home könyvtárat a konténeredbe, és el tudod olvasni minden felhasználó SSH-kulcsait, AWS-hitelesítő adatait és GPG-titkait” – mondta Nayak. „Csatold be a /var könyvtárat, és hozzáférsz a Docker sockethez – ami teljes host szintű kitörést jelent a ‘sandboxból’.”
Az OpenClaw legújabb verziójára való frissítés mellett azt javasolják, hogy minden nem fő munkamenethez kapcsold be a sandbox módot, vedd ki az „exec” parancsot az eszközök engedélyezési listájáról a csatornával közvetlenül érintkező agenteknél, és figyeld a Git clone parancsokat, amelyek „ext::” külső protokollsegédet tartalmaznak, mert ezekkel tetszőleges rendszerparancsokat lehet futtatni.
„Verziófrissítés előtt korlátozd az érintett funkciót tRust üzemeltetőkre, vagy kapcsold ki, ha nincs rá szükség” – közölte az OpenClaw. „Általános megerősítésként tartsd szűken a csatorna- és eszköz-engedélyezési listákat, kerüld, hogy egy Gatewayt egymást kölcsönösen nem tRust felhasználók osszanak meg, és kapcsold ki az érintett funkciót, ha nincs rá szükség.”

