ওপেনক্ল-এ গুরুতর নিরাপত্তা ত্রুটি সম্পূর্ণ প্রশাসনিক হাইজ্যাকিং সম্ভব করে – ফিচার্ড বিটকয়েন নিউজ

'বিশ্বস্ত পরিবেশ' ভ্রান্তি

Web3 নিরাপত্তা প্রতিষ্ঠান Certik-এর ৩১ মার্চের একটি গবেষণা Openclaw-এর মধ্যে নিরাপত্তা সীমানার "সিস্টেমিক পতন" উন্মোচন করেছে, যা একটি ওপেন-সোর্স কৃত্রিম বুদ্ধিমত্তা (AI) প্ল্যাটফর্ম। ৩,০০,০০০-এর বেশি Github স্টারে দ্রুত উত্থান সত্ত্বেও, ফ্রেমওয়ার্কটি মাত্র চার মাসে ১০০-এর বেশি CVE এবং ২৮০টি নিরাপত্তা পরামর্শ সংগ্রহ করেছে, যা গবেষকরা "সীমাহীন" আক্রমণ পৃষ্ঠ বলে অভিহিত করেছেন।

প্রতিবেদনটি একটি মৌলিক স্থাপত্য ত্রুটি তুলে ধরে: Openclaw মূলত "বিশ্বস্ত স্থানীয় পরিবেশের" জন্য ডিজাইন করা হয়েছিল। তবে, প্ল্যাটফর্মের জনপ্রিয়তা বৃদ্ধির সাথে সাথে, ব্যবহারকারীরা এটি ইন্টারনেট-মুখী সার্ভারে স্থাপন করতে শুরু করে—এমন একটি রূপান্তর যা সফ্টওয়্যারটি কখনো পরিচালনা করার জন্য প্রস্তুত ছিল না।

গবেষণা প্রতিবেদন অনুসারে, গবেষকরা ব্যবহারকারীর ডেটা ঝুঁকিতে ফেলে এমন বেশ কয়েকটি উচ্চ-ঝুঁকিপূর্ণ ব্যর্থতার বিন্দু চিহ্নিত করেছেন, যার মধ্যে রয়েছে সমালোচনামূলক দুর্বলতা, CVE-2026-25253, যা আক্রমণকারীদের সম্পূর্ণ প্রশাসনিক নিয়ন্ত্রণ দখল করতে দেয়। একটি একক দূষিত লিঙ্কে ক্লিক করতে ব্যবহারকারীকে প্রতারিত করে, হ্যাকাররা প্রমাণীকরণ টোকেন চুরি করতে এবং AI এজেন্ট হাইজ্যাক করতে পারে।

এদিকে, বৈশ্বিক স্কান ৮২টি দেশ জুড়ে ১,৩৫,০০০-এর বেশি ইন্টারনেট-উন্মুক্ত Openclaw ইনস্ট্যান্স প্রকাশ করেছে। এর মধ্যে অনেকগুলোতে ডিফল্টভাবে প্রমাণীকরণ অক্ষম ছিল, যা API কী, চ্যাট ইতিহাস এবং সংবেদনশীল শংসাপত্র প্লেইনটেক্সটে ফাঁস করছে। প্রতিবেদনটি আরও জোর দেয় যে ব্যবহারকারী-শেয়ার করা "দক্ষতার" জন্য প্ল্যাটফর্মের রিপোজিটরি ম্যালওয়্যার দ্বারা অনুপ্রবেশ করা হয়েছে এবং এই এক্সটেনশনগুলির শত শত সংরক্ষিত পাসওয়ার্ড এবং ক্রিপ্টোকারেন্সি ওয়ালেট চুরি করার জন্য ডিজাইন করা ইনফোস্টিলার বান্ডিল করা হয়েছে বলে পাওয়া গেছে।

তদুপরি, আক্রমণকারীরা এখন ইমেল এবং ওয়েবপেজের মধ্যে দূষিত নির্দেশনা লুকিয়ে রাখছে। যখন AI এজেন্ট এই নথিগুলি প্রক্রিয়া করে, তখন এটি ব্যবহারকারীর জ্ঞান ছাড়াই ফাইল বের করতে বা অননুমোদিত কমান্ড কার্যকর করতে বাধ্য হতে পারে।

"Openclaw একটি কেস স্টাডি হয়ে উঠেছে যখন বড় ভাষা মডেলগুলি বিচ্ছিন্ন চ্যাট সিস্টেম হওয়া বন্ধ করে এবং প্রকৃত পরিবেশের মধ্যে কাজ করা শুরু করে," Penligent-এর একজন প্রধান নিরীক্ষক বলেছেন। "এটি উচ্চ অর্পিত কর্তৃত্বের সাথে একটি রানটাইমে ক্লাসিক সফ্টওয়্যার ত্রুটিগুলি একত্রিত করে, যা যেকোনো একটি বাগের বিস্ফোরণ ব্যাসার্ধকে বিশাল করে তোলে।"

প্রশমন এবং নিরাপত্তা সুপারিশ

এই ফলাফলগুলির প্রতিক্রিয়ায়, বিশেষজ্ঞরা ডেভেলপার এবং শেষ ব্যবহারকারী উভয়ের জন্য "নিরাপত্তা-প্রথম" পদ্ধতির আহ্বান জানাচ্ছেন। ডেভেলপারদের জন্য, গবেষণাটি প্রথম দিন থেকে আনুষ্ঠানিক হুমকি মডেল স্থাপন, কঠোর স্যান্ডবক্স বিচ্ছিন্নতা প্রয়োগ এবং নিশ্চিত করার সুপারিশ করে যে AI-জন্ম দেওয়া যেকোনো সাবপ্রসেস শুধুমাত্র নিম্ন-বিশেষাধিকার, অপরিবর্তনীয় অনুমতি উত্তরাধিকার সূত্রে পায়।

এন্টারপ্রাইজ ব্যবহারকারীদের জন্য, নিরাপত্তা দলগুলিকে কর্পোরেট নেটওয়ার্কের মধ্যে অননুমোদিত Openclaw ইনস্টলেশন সনাক্ত করতে এন্ডপয়েন্ট ডিটেকশন এবং রেসপন্স (EDR) সরঞ্জাম ব্যবহার করার আহ্বান জানানো হচ্ছে। অন্যদিকে, স্বতন্ত্র ব্যবহারকারীদের উৎপাদন ডেটাতে কোন অ্যাক্সেস ছাড়াই শুধুমাত্র একটি স্যান্ডবক্সড পরিবেশে সরঞ্জামটি চালানোর জন্য উৎসাহিত করা হচ্ছে। সবচেয়ে গুরুত্বপূর্ণভাবে, ব্যবহারকারীদের অবশ্যই পরিচিত রিমোট কোড এক্সিকিউশন (RCE) ত্রুটিগুলি প্যাচ করতে সংস্করণ 2026.1.29 বা তার পরে আপডেট করতে হবে।

যদিও Openclaw-এর ডেভেলপাররা সম্প্রতি আপলোড করা দক্ষতা স্কান করতে Virustotal-এর সাথে অংশীদারিত্ব করেছে, Certik গবেষকরা সতর্ক করেন এটি "কোন রূপালী বুলেট নয়।" যতক্ষণ না প্ল্যাটফর্মটি আরও স্থিতিশীল নিরাপত্তা পর্যায়ে পৌঁছায়, শিল্প ঐকমত্য হল সফ্টওয়্যারটিকে সহজাতভাবে অবিশ্বস্ত হিসাবে বিবেচনা করা।

FAQ ❓

• Openclaw কী? Openclaw একটি ওপেন-সোর্স AI ফ্রেমওয়ার্ক যা দ্রুত ৩,০০,০০০+ GitHub স্টারে বৃদ্ধি পেয়েছে।
• এটি ঝুঁকিপূর্ণ কেন? এটি বিশ্বস্ত স্থানীয় ব্যবহারের জন্য তৈরি করা হয়েছিল কিন্তু এখন ব্যাপকভাবে অনলাইনে স্থাপন করা হচ্ছে, যা প্রধান ত্রুটিগুলি উন্মোচন করছে।
• কী হুমকি বিদ্যমান? সমালোচনামূলক CVE, ম্যালওয়্যার-সংক্রমিত এক্সটেনশন, এবং ৮২টি দেশ জুড়ে ১,৩৫,০০০+ উন্মুক্ত ইনস্ট্যান্স।
• ব্যবহারকারীরা কীভাবে নিরাপদ থাকতে পারে? শুধুমাত্র স্যান্ডবক্সড পরিবেশে চালান এবং সংস্করণ 2026.1.29 বা তার পরে আপডেট করুন।