Kerentanan  ·  2026-07-19

Cacat Time-of-Check Time-of-Use Sipeed PicoClaw dalam Eksekusi Alat

KerentananMedium dampakGlobalCVE-2026-16082
NVD menerbitkan kerentanan TOCTOU tingkat medium (CVSS 5.3) dalam pipeline eksekusi alat agen PicoClaw, memungkinkan penyerang lokal untuk memanipulasi direktori kerja antara pemeriksaan dan penggunaan.
Meskipun memerlukan akses lokal membatasi radius ledakan, cacat TOCTOU dalam executor alat agen dapat digunakan untuk mengarahkan ulang operasi file yang dilakukan oleh agen AI ke jalur yang dikendalikan penyerang, kelas bug penting untuk runtime agen AI sandbox/edge seperti PicoClaw.
Fungsi ExecTool.executeRun di pkg/agent/pipeline_execute.go rentan terhadap kondisi balapan TOCTOU melalui manipulasi argumen cwd; serangan harus dilakukan secara lokal, dengan exploit yang tersedia secara publik.
Sipeed PicoClaw hingga 0.2.9
Tidak ada patch resmi yang dikonfirmasi pada saat pengungkapan; hindari akses lokal yang tidak dipercaya ke lingkungan eksekusi agen PicoClaw yang tertunda perbaikan.
Sipeed PicoClaw GitHub repository
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →