出典: Security NEXT – https://www.security-next.com/181084
AIアシスタント「Nanobot」のWhatsApp連携コンポーネントに深刻な脆弱性
AIアシスタント「Nanobot」のWhatsApp連携コンポーネントに深刻な脆弱性
パーソナルAIアシスタント「Nanobot」において「WhatsApp」を接続するためのコンポーネントに深刻な脆弱性が明らかとなった。アップデートが提供されている。
「Nanobot」は、大規模言語モデル(LLM)を活用し、チャットやタスク実行、自動化処理などを行うエージェント型アプリケーション。香港大学(HKU)データインテリジェンス研究室のソースリポジトリにおいて公開されている。
同ソフトに含まれる「WhatsApp」と接続するためのコンポーネントにおいて、通信を行う「WebSocketサーバ」がすべてのネットワークに対して公開されており、認証が欠落している脆弱性「CVE-2026-2577」が確認された。
サーバへ接続できる場合、ユーザーの「WhatsApp」におけるセッションを乗っ取り、通信内容の盗聴やメッセージの送信が可能。認証用QRコードを取得されるおそれがある。
同脆弱性を発見、報告したTenableでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値となる「10.0」
