Apa yang terjadi
NVD menerbitkan kerentanan daftar hitam tidak lengkap tingkat medium (CVSS 5.3) dalam logika validasi perintah shell SafestClaw yang digunakan untuk menjaga tindakan shell yang dimulai agen AI.
Mengapa penting
Nama SafestClaw menyiratkan bahwa itu dimaksudkan untuk dengan aman membatasi akses shell agen; daftar hitam yang tidak lengkap dalam fungsi validasi inti alat mengikis jaminan keselamatan inti alat untuk agen AI apa pun yang menggunakannya untuk menjalankan perintah shell.
Vektor serangan
Fungsi ShellAction._validate_command di src/safestclaw/actions/shell.py, bagian dari komponen Antarmuka Web Built-in, mengandalkan daftar hitam yang tidak lengkap untuk membatasi perintah shell, memungkinkan penyerang dengan akses lokal/berdekatan untuk membuat perintah yang menghindari filter.
Sistem yang terdampak
princezuda SafestClaw hingga 4.2.4
Mitigasi
Tidak ada patch resmi yang dikonfirmasi pada saat pengungkapan; ganti penyaringan perintah berbasis daftar hitam dengan pendekatan daftar izin.