สรุปสั้น

มีรายละเอียดเปิดเผยออกมาเกี่ยวกับช่องโหว่ด้านความปลอดภัยสามรายการในผู้ช่วยปัญญาประดิษฐ์ (AI) ส่วนตัวที่ชื่อ OpenClaw ซึ่งได้รับการแก้ไขไปแล้ว โดยหากถูกใช้ประโยชน์สำเร็จ ช่องโหว่เหล่านี้จะเปิดทางให้ขโมยข้อมูลรับรอง (credential) ยกระดับสิทธิ์ (privilege escalation) และรันโค้ดตามอำเภอใจบนเครื่องโฮสต์ได้ ช่องโหว่ทั้งสามมีระดับความรุนแรงสูง ได้แก่ GHSA-hjr6-g723-hmfm (CVSS 8.8), GHSA-9969-8g9h-rxwm (CVSS 8.8) ซึ่งเป็นช่องโหว่ OS command injection และการกรองอินพุตที่ไม่ครบถ้วน และ GHSA-575v-8hfq-m3mc (CVSS 8.4) ซึ่งเป็นช่องโหว่ path traversal และการติดตามลิงก์

นาย Chinmohan Nayak นักวิจัยด้านความปลอดภัยผู้ค้นพบและรายงานปัญหานี้ ระบุในรายงานที่แบ่งปันกับ The Hacker News ว่าช่องโหว่เหล่านี้สามารถนำมาต่อกันเพื่อกระตุ้นการรันโค้ดบนโฮสต์จากข้อความภายนอกที่ส่งผ่าน WhatsApp ได้ ต่างจากช่องโหว่ Claw Chain ที่บริษัท Cyera เปิดเผยเมื่อเดือนพฤษภาคม ช่องโหว่ชุดใหม่นี้ไม่จำเป็นต้องให้ผู้โจมตีสร้างจุดยืนก่อนหน้าเพื่อดึงข้อมูลอ่อนไหว วางแบ็กดอร์ถาวร รันโค้ดจากระยะไกล และหลบหนีออกไปยังเครื่องโฮสต์ ทั้งสามช่องโหว่ได้รับการแก้ไขแล้วใน OpenClaw เวอร์ชัน 2026.6.6

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 10 กรกฎาคม 2569 ว่า ทีมผู้ดูแล OpenClaw ได้ออกคำแนะนำด้านความปลอดภัยหลายฉบับเมื่อสัปดาห์ที่ผ่านมา โดยระบุว่า “ผลกระทบในทางปฏิบัติขึ้นอยู่กับการตั้งค่าของผู้ดูแลระบบ และขึ้นอยู่กับว่าอินพุตที่มีความน่าเชื่อถือต่ำสามารถเข้าถึงเส้นทางนั้นได้หรือไม่” อย่างไรก็ตาม นาย Chinmohan Nayak ชี้ว่าในทางปฏิบัติ ช่องโหว่สามารถถูกใช้เริ่มต้นจากข้อความ WhatsApp ที่ส่งจากภายนอกได้จริง

นาย Nayak อธิบายเกี่ยวกับช่องโหว่ GHSA-575v-8hfq-m3mc ว่า ฟังก์ชัน getBlockedReasonForSourcePath() ตรวจสอบว่าเส้นทางต้นทางอยู่ภายใต้เส้นทางที่ถูกบล็อกหรือไม่ แต่ไม่เคยตรวจสอบในทางกลับกัน คือไม่เช็กว่าเส้นทางที่ถูกบล็อกอยู่ภายใต้เส้นทางต้นทางหรือไม่ ทำให้เกิดการข้ามการตรวจสอบผ่านโฟลเดอร์แม่ (parent directory bypass) โดยเฉพาะ denylist ของ bind mount จะบล็อกโฟลเดอร์อย่าง ~/.ssh, ~/.aws และ ~/.gnupg แต่กลับอนุญาตให้ mount โฟลเดอร์แม่อย่าง /home หรือ /var ได้ ซึ่งทำให้การบล็อกรายตัวไร้ผลไปโดยปริยาย

นาย Nayak เตือนว่า “หาก mount /home เข้าไปในคอนเทนเนอร์ คุณจะอ่าน SSH key, AWS credential และ GPG secret ของผู้ใช้ทุกคนได้” และ “หาก mount /var คุณจะได้ Docker socket ซึ่งหมายถึงการหลบหนีออกจากสภาพแวดล้อมจำลอง (sandbox) ไปควบคุมเครื่องโฮสต์ได้อย่างสมบูรณ์” จุดนี้เองที่ทำให้ช่องโหว่มีความรุนแรง เพราะเปลี่ยนสิ่งที่ควรถูกกักไว้ในกล่องทรายให้กลายเป็นการยึดครองเครื่องทั้งเครื่อง

รายละเอียดช่องโหว่

ช่องโหว่สองรายการแรกคือ GHSA-hjr6-g723-hmfm และ GHSA-9969-8g9h-rxwm (ทั้งคู่ CVSS 8.8) เป็นช่องโหว่ OS command injection ร่วมกับรายการอินพุตที่ห้ามใช้ซึ่งไม่ครบถ้วน ส่งผลกระทบต่อกลไกการกรองของสภาพแวดล้อมการรันบนโฮสต์ (host execution environment filtering) เปิดทางให้รันหรือฝังการกระทำที่เกินขอบเขตสิทธิ์ที่ผู้เรียกใช้ควรมี ส่วนช่องโหว่ที่สามคือ GHSA-575v-8hfq-m3mc (CVSS 8.4) เป็นช่องโหว่ path traversal และ link following ที่ยอมให้ bind mount ของ sandbox ข้ามการตรวจ denylist ของโฟลเดอร์แม่ และทำสิ่งที่ควรถูกป้องกันด้วยการตรวจสอบสิทธิ์หรือนโยบายที่เข้มงวดกว่า

จุดที่ทำให้ช่องโหว่ชุดนี้อันตรายกว่าเดิมคือ นาย Nayak สาธิตว่าสามารถต่อช่องโหว่เข้าด้วยกันจนรันโค้ดบนโฮสต์ได้จากข้อความ WhatsApp ภายนอกโดยตรง โดยไม่ต้องอาศัยการเข้าถึงระบบมาก่อน ต่างจากช่องโหว่ตระกูล Claw Chain ที่บริษัท Cyera เคยเปิดเผยในเดือนพฤษภาคม ซึ่งผู้โจมตีต้องมีจุดยืนในระบบก่อน ทำให้ช่องโหว่ชุดใหม่นี้มีพื้นผิวการโจมตีที่เข้าถึงได้ง่ายกว่ามาก

ผลกระทบต่อไทย

ผู้ใช้และองค์กรในไทยที่นำ OpenClaw มาใช้เป็นผู้ช่วย AI ส่วนตัว โดยเฉพาะการเชื่อมต่อกับช่องทางแชทภายนอกอย่าง WhatsApp มีความเสี่ยงที่จะถูกโจมตีตั้งแต่ยังไม่ได้อัปเดตเป็นเวอร์ชัน 2026.6.6 เนื่องจากช่องโหว่เปิดทางให้ผู้โจมตีขโมย SSH key, AWS credential และ GPG secret รวมถึงยึดเครื่องโฮสต์ผ่าน Docker socket ได้ ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลบนคลาวด์และการเข้าถึงระบบภายในองค์กรในวงกว้าง แนวโน้มการนำผู้ช่วย AI มาเชื่อมต่อกับเครื่องมือและช่องทางสื่อสารต่าง ๆ ที่เพิ่มขึ้น ทำให้ทีมความปลอดภัยไทยควรพิจารณาการตั้งค่าและจำกัดสิทธิ์ของ AI agent อย่างรอบคอบ

คำแนะนำ

ผู้ใช้ควรอัปเดต OpenClaw เป็นเวอร์ชัน 2026.6.6 หรือใหม่กว่าทันที นอกจากนี้ทีมผู้ดูแลแนะนำให้เปิดโหมด sandbox สำหรับทุกเซสชันที่ไม่ใช่เซสชันหลัก ลบ “exec” ออกจาก allowlist ของเครื่องมือสำหรับ agent ที่เชื่อมต่อกับช่องทางภายนอก และเฝ้าระวังคำสั่ง git clone ที่มี external protocol helper แบบ “ext::” ซึ่งอาจถูกใช้รันคำสั่งระบบตามอำเภอใจ ก่อนอัปเกรดควรจำกัดฟีเจอร์ที่ได้รับผลกระทบให้เฉพาะผู้ดูแลที่ไว้ใจได้ หรือปิดการใช้งานเมื่อไม่จำเป็น รวมถึงควรตั้ง allowlist ของช่องทางและเครื่องมือให้แคบที่สุด และหลีกเลี่ยงการใช้ Gateway เดียวร่วมกันระหว่างผู้ใช้ที่ไม่ไว้วางใจกัน

แหล่งอ้างอิง