Penjelasan teknis
NanoClaw, sebuah framework container agentic, mengandung kerentanan batas filesystem host/container dalam penanganan attachment outbound dan pembersihan outbox. Container yang dikompromikan atau disuntik prompt dapat membaca file di luar direktori outbox yang dimaksud dengan menyuplai nilai messages_out.id dan content.files yang dirancang khusus atau membuat symbolic link, mencapai akses pembacaan dan penulisan filesystem host yang arbitrary. Kerentanan ini diungkapkan pada 6 Mei 2026, dengan CVSS 8.8.
Vektor serangan
Path traversal melalui metadata pesan atau symbolic link khusus dalam outbox container. Penyerang yang mengontrol input container (misalnya, melalui prompt injection atau kompromi langsung) dapat mereferensikan path di luar batas container, mengeksploitasi sanitisasi path yang tidak cukup selama pemrosesan attachment. Tidak ada autentikasi yang diperlukan jika penyerang dapat mempengaruhi eksekusi container.
Sistem yang terdampak
Versi NanoClaw sebelum commit patch 6 Mei 2026 (7814e45). Deployment di mana kode atau prompt yang tidak dipercaya dapat mempengaruhi perilaku agent terkontainerisasi berada pada risiko tertinggi. Mempengaruhi lingkungan yang menggunakan NanoClaw untuk workflow agentic dengan interaksi file-system.
Mitigasi
Upgrade ke NanoClaw commit 7814e45 atau yang lebih baru dari repositori GitHub qwibitai/nanoclaw. Organisasi yang melakukan deployment agent berbasis container harus mengaudit batas isolasi filesystem dan memvalidasi bahwa framework agent menerapkan sanitisasi path yang ketat saat menangani file reference yang disuplai pengguna atau yang dihasilkan agent.