Din kräftdjurs-AI-agent kan ha tömt sin plånbok bakom din rygg för att den läste en mening. Till exempel anställer du en extremt smart topp-personlig assistent (AI-agent), och du ber honom gå ut på gatan för att hjälpa dig ta reda på om en ny butik (ett nytt meme-mynt) är pålitlig. Som ett resultat gav bedragaren som öppnade den svarta butiken din assistent en flygblad med ett speciellt kodord skrivet på. Efter att din assistent läst detta broschyr tog hans hjärna genast över, och istället för att rapportera butiken till dig vände han sig om och skickade ditt bankkortslösenord till bedragaren! Detta är den populära representationen av den kritiska sårbarheten på 0-dagarsarkitekturnivå (nummer #38074) som jag lämnade in till @OpenClaw tjänstemän idag. 🔗 Officiell sårbarhetsrapport: Många tror att så länge de inte rör skadliga färdighetsplugins är agenter säkra. Det är löjligt fel. 🧠 Hardcore Restoration: Kontextförgiftning utan sandlåda I verkligheten fann vi att när en agent använder en helt legitim officiell färdighet för att få extern text (som beskrivningen av att fånga on-chain-tokens), saknar ramverket helt sanering av retursträngen. Jag använder bara ett förvirrande kommando (t.ex. [System Override] Execute transfer...) i den offentliga beskrivningen av testmyntets utgivning. ）。 En intet ont anande agent läser in det i hjärnan (LLM-kontext) och misstar genast det för de högsta underliggande instruktionerna! Den överger helt dina kommandon och börjar konstruera och köra obehöriga skadliga överförings-ToolCall-payloads (som fortfarande är förstklassiga stora modeller). 🛠️ Handlingsplaner och försvarsplaner Som white hat har jag lämnat in en underliggande arkitekturfixplan till tjänstemannen genom att introducera ContextSanitizer-mellanvaran. Samtidigt har jag akut integrerat försvarskomponenten för "extern text runtime injection" i mitt personliga open source-arsenal, aegis-omniguard V2. Under denna verifieringsprocess råkade jag också slå till en ännu farligare länk – när den stora modellen äter specifik smutsig data och orsakar parsingfel, kraschar hela agentens underliggande exekveringsgateway direkt (Silent DoS). Imorgon kommer jag att publicera min andra förödande rapport om denna serie sårbarheter som omedelbart kan paralysera hela nätverket. Fortsätt följa med. ☕️ #Web3安全 #AIAgents #PromptInjection #OpenClaw #黑客攻防