OpenClaw เผยช่องโหว่ "Claw Chain" ภัยคุกคามด้านข้อมูลประจำตัวและสิทธิ์การเข้าถึง

นักวิจัยด้านความปลอดภัยเพิ่งเปิดเผยชุดช่องโหว่ที่เชื่อมโยงกันซึ่งส่งผลกระทบต่อเฟรมเวิร์ก AI Agent แบบโอเพนซอร์ส OpenClaw โดยรวมเรียกว่า "Claw Chain" ช่องโหว่ทั้ง 4 รายการนี้สามารถถูกโจมตีแบบต่อเนื่อง ตั้งแต่การบุกรุกเริ่มต้น การขโมยข้อมูลประจำตัว การยกระดับสิทธิ์ ไปจนถึงการฝังแบ็คดอร์แบบถาวร ขณะนี้ทีมพัฒนา OpenClaw ได้รับรายงานจากบริษัทรักษาความปลอดภัยข้อมูล Cyera และได้ออกแพตช์แก้ไขช่องโหว่ทั้งหมดเรียบร้อยแล้ว

ช่องโหว่ทั้ง 4 ที่พบในครั้งนี้มีรหัส CVE-2026-44112, CVE-2026-44115, CVE-2026-44118 และ CVE-2026-44113 โดย CVE-2026-44118 (CVSS 7.8) เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดจากการตรวจสอบเซสชันที่ไม่เหมาะสม ส่วน CVE-2026-44113 (CVSS 7.8) เป็นช่องโหว่ TOCTOU (Time-of-Check Time-of-Use) ที่อนุญาตให้ผู้โจมตีเข้าถึงไฟล์คอนฟิกคีย์ API ข้อมูลประจำตัว และข้อมูลที่ละเอียดอ่อนอื่น ๆ โดยไม่ได้รับอนุญาต ส่วนอีกสองช่องโหว่เกี่ยวข้องกับการรั่วไหลของตัวแปรสภาพแวดล้อมและความเสี่ยงในการรันโค้ด ซึ่งเมื่อรวมกันแล้วสามารถเจาะขอบเขตความปลอดภัยของ AI Agent และคุกคามระบบภายใน คลาวด์ และแอปพลิเคชัน SaaS ที่เชื่อมต่ออยู่

OpenClaw ซึ่งเป็นเครื่องมือ AI Agent ที่เติบโตเร็วที่สุดในตอนนี้ ถูกนักพัฒนาจำนวนมากนำไปใช้ในการปรับใช้ AI ผู้ช่วยอัตโนมัติ เหตุการณ์ช่องโหว่ "Claw Chain" ครั้งนี้เตือนให้องค์กรต่าง ๆ ตระหนักว่า ขณะที่เร่งนำ AI Agent มาบูรณาการกับสภาพแวดล้อมทางธุรกิจที่ละเอียดอ่อน จำเป็นต้องสร้างกลไกการตรวจสอบความปลอดภัยและการควบคุมการเข้าถึงที่เข้มงวด มิฉะนั้นจะเผชิญกับผลกระทบร้ายแรงจากการรั่วไหลของข้อมูลและการสูญเสียสิทธิ์ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้อัปเกรดเป็นเวอร์ชันแก้ไขล่าสุดทันที และประเมินว่าการปรับใช้ของตนมีพื้นผิวการโจมตีที่คล้ายกันหรือไม่