【安全资讯】AutoGPT关键漏洞威胁166k+项目 - CVE-2024-6091（CVSS 9.8）

概要：

AutoGPT是一款广受欢迎的AI工具，因其智能代理自动化任务的能力而备受关注。然而，最近发现的CVE-2024-6091漏洞引发了严重的安全担忧。该漏洞为操作系统命令注入漏洞，CVSS评分高达9.8，可能导致未经授权的命令执行。

主要内容：

AutoGPT在GitHub上拥有超过166k颗星，因其简化复杂操作的能力而广受欢迎。然而，安全研究员Pinkdraconian发现了一个严重的操作系统命令注入漏洞CVE-2024-6091。该漏洞允许攻击者绕过AutoGPT的命令拒绝列表，从而执行未经授权的操作。虽然拒绝列表旨在防止特定命令的执行，但攻击者可以通过使用命令的完整路径轻松绕过这一保护措施。

漏洞的核心问题在于AutoGPT处理拒绝列表的方式。尽管管理员可以指定不允许的命令，但框架未能考虑到命令执行中的细微变化，例如使用完整路径。Pinkdraconian发布了一个概念验证（PoC）漏洞利用，展示了如何轻松绕过拒绝列表。这一漏洞特别危险，尤其是对于那些在敏感环境中依赖AutoGPT进行自动化任务的用户。

CVE-2024-6091的发现对依赖AutoGPT的组织和用户构成了重大威胁。绕过命令拒绝列表的能力使系统面临未经授权命令执行的风险。攻击者利用这一漏洞可以获取系统信息、提升权限，甚至根据AutoGPT的使用环境执行任意命令。AutoGPT团队已在版本0.5.1中迅速修复了该漏洞，强烈建议用户更新到最新版本以确保系统安全。