취약점  ·  2026-07-19

Sipeed PicoClaw Tool Execution에서 Time-of-Check Time-of-Use 결함

취약점Medium 영향도GlobalCVE-2026-16082
NVD는 PicoClaw의 agent tool 실행 pipeline에서 local 공격자가 check와 use 사이에 작업 디렉토리를 조작할 수 있게 하는 medium-severity(CVSS 5.3) TOCTOU 취약점을 발표했습니다.
local 접근을 요구하면 폭발 범위는 제한되지만, agent tool executors의 TOCTOU 결함은 AI agent가 수행한 파일 작업을 공격자가 제어한 경로로 리다이렉트하는 데 사용될 수 있으며, PicoClaw 같은 sandboxed/edge AI agent runtimes에 중요한 버그 클래스입니다.
pkg/agent/pipeline_execute.go의 ExecTool.executeRun 함수는 cwd 인수 조작을 통한 TOCTOU race condition에 취약합니다. 공격은 local에서 수행되어야 하며 공개된 exploit이 있습니다.
Sipeed PicoClaw 0.2.9까지
공개 시점에 공식 패치가 확인되지 않음. fix 대기 중인 동안 PicoClaw agent 실행 환경에 대한 신뢰할 수 없는 local 접근을 피하세요.
Sipeed PicoClaw GitHub repository
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →