Свежие новости

В системе подключения устройств OpenClaw, которая управляется ИИ-агентом с 348 000 звёзд на GitHub, за последние шесть недель были выявлены шесть уязвимостей, относящихся к классу CWE-863 (некорректная авторизация). Последняя из них, CVE-2026-33579, с оценкой CVSS 8.6, была устранена 29 марта в версии 2026.3.28. Все шесть уязвимостей связаны с архитектурной проблемой: модуль device pairing не проверяет права пользователей, одобряющих подключение новых устройств. Например, уязвимость CVE-2026-33579 позволяла пользователю с минимальными правами зарегистрировать устройство и тут же его одобрить. Ранее обнаруженная уязвимость CVE-2026-32922 (CVSS 9.9) позволяла обойти проверку прав через эндпоинт ротации токенов. Проблема усугубляется тем, что по данным SecurityScorecard, в феврале в открытом доступе находилось более 135 000 экземпляров OpenClaw, из которых 63% работали без аутентификации. Это создает риск массовой эксплуатации. Исследователи подчеркивают, что патчи закрывают лишь конкретные уязвимости, не затрагивая

модель авторизации

. Рекомендуется обновиться до версии 2026.3.28 и включить аутентификацию для повышения безопасности.

News Reporter