Kerentanan  ·  2026-07-19

Daftar Hitam Tidak Lengkap SafestClaw Shell Action Memungkinkan Bypass Perintah

KerentananMedium dampakGlobalCVE-2026-16129
NVD menerbitkan kerentanan daftar hitam tidak lengkap tingkat medium (CVSS 5.3) dalam logika validasi perintah shell SafestClaw yang digunakan untuk menjaga tindakan shell yang dimulai agen AI.
Nama SafestClaw menyiratkan bahwa itu dimaksudkan untuk dengan aman membatasi akses shell agen; daftar hitam yang tidak lengkap dalam fungsi validasi inti alat mengikis jaminan keselamatan inti alat untuk agen AI apa pun yang menggunakannya untuk menjalankan perintah shell.
Fungsi ShellAction._validate_command di src/safestclaw/actions/shell.py, bagian dari komponen Antarmuka Web Built-in, mengandalkan daftar hitam yang tidak lengkap untuk membatasi perintah shell, memungkinkan penyerang dengan akses lokal/berdekatan untuk membuat perintah yang menghindari filter.
princezuda SafestClaw hingga 4.2.4
Tidak ada patch resmi yang dikonfirmasi pada saat pengungkapan; ganti penyaringan perintah berbasis daftar hitam dengan pendekatan daftar izin.
SafestClaw GitHub repository
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →