Penjelasan teknis
NanoClaw, kerangka kerja container agentic, berisi kerentanan batas filesystem host/container dalam penanganan attachment outbound dan pembersihan outbox. Container yang dikompromikan atau hasil prompt injection dapat membaca file di luar direktori outbox yang dimaksudkan dengan memberikan nilai messages_out.id dan content.files yang dirancang khusus atau membuat symbolic link, mencapai akses baca dan tulis filesystem host yang sewenang-wenang. Kerentanan diungkapkan pada 6 Mei 2026, dengan CVSS 8.8.
Vektor serangan
Path traversal melalui metadata pesan atau symbolic link yang dirancang khusus dalam outbox container. Penyerang yang mengendalikan input container (misalnya, melalui prompt injection atau kompromi langsung) dapat mereferensikan path di luar batas container, mengeksploitasi sanitasi path yang tidak memadai selama pemrosesan attachment. Tidak ada autentikasi yang diperlukan jika penyerang dapat mempengaruhi eksekusi container.
Sistem yang terdampak
Versi NanoClaw sebelum patch commit 6 Mei 2026 (7814e45). Deployment di mana kode atau prompt yang tidak terpercaya dapat mempengaruhi perilaku agent terkontainerisasi berisiko tertinggi. Memengaruhi lingkungan yang menggunakan NanoClaw untuk alur kerja agentic dengan interaksi filesystem.
Mitigasi
Upgrade ke commit NanoClaw 7814e45 atau lebih baru dari repositori GitHub qwibitai/nanoclaw. Organisasi yang menerapkan agent berbasis container harus melakukan audit batas isolasi filesystem dan memvalidasi bahwa kerangka kerja agent menerapkan sanitasi path ketat saat menangani referensi file yang disediakan pengguna atau yang dihasilkan agent.