CVE-2026-22682OpenHarness 在 commit 166fcfe 之前的版本由于内置文件工具中权限强制执行时参数处理不一致,存在不当访问控制漏洞。能够影响代理工具执行的攻击者,可利用 read_file、write_file 等工具未将 path 参数传递给 PermissionChecker 的缺陷,绕过拒绝规则。这使得攻击者能够读取超出预期存储库范围的任意本地文件,包括配置文件和凭据,或在 full_auto 模式下覆盖受限路径文件,造成敏感信息泄露或完整性破坏。
该漏洞的根本原因在于 OpenHarness 的文件操作函数(如 read_file、write_file、edit_file 和 notebook_edit)中存在逻辑缺陷。当这些工具被调用时,应用程序未能将用户提供的 path 参数传递给核心安全组件 PermissionChecker。因此,原本旨在防止访问敏感目录(如 /etc、用户主目录等)的权限校验机制实际上被跳过。攻击者只需能够触发 Agent 执行这些工具,并指定任意的文件系统路径(例如 /etc/passwd 或 ~/.ssh/id_rsa),即可在无需满足权限检查条件的情况下读取敏感数据。此外,在 full_auto 模式下,该漏洞还允许写入操作,攻击者可借此篡改系统关键配置文件或植入恶意代码,完全绕过了预期的沙箱隔离机制。