# Sześć luk CWE-863 w podsystemie parowania urządzeń OpenClaw
W podsystemie parowania urządzeń OpenClaw, popularnego agenta AI z 348 000 gwiazdek na GitHub, w ciągu sześciu tygodni wykryto sześć luk klasy CWE-863 (Incorrect Authorization). Ostatnia, CVE-2026-33579 z CVSS 8.6, została naprawiona w wydaniu 2026.3.28 z 29 marca. Wszystkie defekty związane są z brakiem weryfikacji uprawnień autoryzowanego podmiotu podczas aprobowania nowych urządzeń.
Moduł device pairing nie weryfikuje przywilejów wywołującego przed wykonaniem operacji. Pozwala to na eskalację uprawnień bez dodatkowych środków kontroli.
Szczegóły CVE-2026-33579 i poprzedników
W CVE-2026-33579 polecenie /pair approve nie przekazywało kontekstu uprawnień użytkownika do sprawdzenia autoryzacji. Posiadacz roli operator.pairing mógł zainicjować parowanie urządzenia z żądaniem na operator.admin, a następnie samodzielnie je zatwierdzić. Prowadziło to do uzyskania podwyższonych uprawnień.
Poprzednia luka CVE-2026-32922 (CVSS 9.9) wykorzystywała endpoint rotacji tokenów do ominięcia weryfikacji uprawnień. Poprawka ukazała się w wersji 2026.3.11, ale bez aktualizacji do 2026.3.28 systemy pozostawały podatne na nowe ataki.
Skala problemu w produkcji
Według skanów SecurityScorecard z lutego ponad 135 000 instancji OpenClaw było dostępnych publicznie, 63% — bez jakiejkolwiek autentykacji. W marcu Censys odnotował spadek do 63 000, ale to wciąż znaczący wektor dla masowej eksploatacji.
Na instancjach bez autentykacji każdy napastnik może wykonać parowanie i aktywować eskalację. Brak podstawowej ochrony pogarsza ryzyka dla wdrożonych systemów.
- Skala ekspozycji: ponad 135 tys. publicznych instancji w lutym.
- Udział bez autentykacji: 63%.
- Trend: Spadek do 63 tys. w marcu.
- Ryzyka: Pełny dostęp do parowania urządzeń bez barier.
Poprawki nie rozwiązują problemu u źródła
Każda z sześciu poprawek zamykała specyficzny kodowy ścieżkę, ale model autoryzacji w device pairing pozostał niezmieniony. Brak oznak pełnego audytu architektonicznego podsystemu. Badacze prognozują nowe CVE w najbliższym czasie.
Twórcy OpenClaw nalegają na:
- Aktualizację do 2026.3.28.
- Włączenie autentykacji na wszystkich instancjach.
- Monitorowanie kanału bezpieczeństwa projektu.
Co ważne
- Sześć CWE-863 w parowaniu urządzeń OpenClaw w 6 tygodni, ostatnia CVSS 8.6.
- Przyczyna źródłowa: brak weryfikacji uprawnień w
/pair approvei podobnych. - Ponad 63 tys. publicznych instancji bez autentykacji — gotowy wektor do eksploatacji.
- Poprawki objawowe, wymagany redesign architektoniczny autoryzacji.
- Obowiązkowa aktualizacja i utwardzanie dla wdrożeń produkcyjnych.
— Editorial Team
Brak komentarzy.