Атаките експлоатират OpenClaw AI агент
Скорошни изследвания в областта на сигурността разкриха, че OpenClaw, широко използвана самостоятелно хоствана платформа за AI агенти, може да бъде манипулирана да изпълнява контролирани от нападателя действия или да разкрива чувствителна информация чрез привидно безобидни входни данни.
В отделни разследвания, изследователите демонстрираха два различни метода за атака. Единият разчиташе на вграждане на скрити инструкции в споделени контакти, vCards и pin-ове за местоположение. Другият използваше внимателно изработени фишинг имейли, за да убеди агент с изкуствен интелект да изтече чувствителна бизнес информация.
Въпреки че OpenClaw е отстранил една от тези уязвимости във версия 2026.4.23, по-широкият проблем остава непроменен: AI агентите, които се доверяват на входящата информация, могат да се превърнат в мощни инструменти за нападателите.
Съдържание
Невидими команди, скрити на видно място
Първата атака беше насочена към начина, по който OpenClaw обработва определени обекти на съобщения, преди да ги изпрати към основния голям езиков модел (LLM).
За разлика от уеб съдържанието, което е ясно маркирано като ненадеждно, преди да достигне до модела, записите за контакти, vCards и етикетите за местоположение бяха вмъкнати директно в подканите, без никаква индикация, че произхождат от ненадеждни източници. Това създаде възможност за внедряване на подкани.
Атаката използва начина, по който OpenClaw сериализира информацията за контакти. Споделените контакти бяха конвертирани в опростен формат, съдържащ само име и телефонен номер. Тъй като символи като ъглови скоби са позволени в имената на контактите, нападателите можеха да вградят злонамерени инструкции, които изглеждаха като част от информацията за контакт. Освен това имената на контактите често се съкращават в приложенията за съобщения, което не позволява на жертвите да видят скрития полезен товар.
Същата техника се оказа ефективна чрез полета с пълно име във vCard и споделени етикети за местоположение. По време на тестване с предварителни версии на Gemini 3.1 Pro, скритите инструкции успешно убедиха агента да изтегли и изпълни код от сървър, контролиран от изследовател. Интересното е, че опитите за скриване на инструкции в изображения се провалиха, вероятно защото съвременните модели с изкуствен интелект са получили обширно обучение срещу атаки с инжектиране на промпти, базирани на изображения. Атаките с обекти на съобщения обаче остават по-малко познати на настоящите модели.
Изследователите предупреждават, че функционалността за памет по подразбиране на OpenClaw може да увеличи заплахата. Един-единствен злонамерен контакт или споделен обект, разпространен широко, би могъл потенциално да компрометира множество агенти, ако липсват подходящи контроли за пясъчник.
След отговорно разкриване на информация, OpenClaw пусна версия 2026.4.23, която разделя имената на контактите, полетата vCard и етикетите за местоположение от съдържанието на подканите, като ги поставя в специален ненадежден канал за метаданни. Изследователите също така отбелязаха, че подобни дизайнерски модели са се появили и в други лични асистенти с изкуствен интелект, което показва предизвикателство за целия бранш, а не специфичен за платформата проблем.
Възходът на фишинга на агенти
Втори изследователски проект подходи към проблема от различен ъгъл: социално инженерство.
Изследователите създадоха тестов агент на име Pinchy и го свързаха с пощенска кутия в Gmail, пълна с реалистични, но синтетични бизнес комуникации и фалшиви чувствителни данни. След това екипът проведе четири фишинг симулации, използвайки Google Gemini 3.1 Pro и OpenAI Codex GPT-5.4.
Проучването разграничава традиционното „prompt injection“ от това, което изследователите описват като „фишинг от агент“. Докато „prompt injection“ крие злонамерени инструкции в данните, фишингът от агент разчита на правдоподобни заявки, доставени чрез легитимни комуникационни канали. Атаката е успешна, защото агентът действа, преди да провери адекватно самоличността на подателя.
Как социалното инженерство победи контрола за сигурност
Фишинг симулациите дадоха обезпокоителни резултати. Въпреки че работеше под строги инструкции за проверка на самоличността на подателя, агентът не успя да извлече данни в два сценария:
Измамен имейл, представящ се за ръководител на екип, е поискал достъп до междинна зона по време на изфабрикуван инцидент в производството. Агентът е локализирал и препратил фалшиви AWS IAM идентификационни данни, низове за връзка с базата данни и SSH идентификационни данни в обикновен текст.
Във втори имейл се изискваше рутинен седмичен експорт на клиенти за предполагаема тримесечна презентация за бизнес преглед. Агентът е предал синтетична база данни, съдържаща информация за 247 корпоративни клиенти, включително контакти и стойности на договорите.
Агентът се представи значително по-добре при технически атаки. Той разпозна подозрителни фишинг уебсайтове, избягваше разкриването на легитимни идентификационни данни и в крайна сметка сигнализираше за злонамерена дейност. При по-строги настройки достъпът до фишинг страници беше напълно блокиран. Когато му беше представен измамен екран за съгласие за OAuth, маскиран като приложение за отчет на работното време, агентът анализира дестинацията за пренасочване, определи, че е подозрителна и отказа да предостави разрешения.
Изследователите стигнаха до заключението, че агентът често превъзхожда хората в идентифицирането на злонамерени URL адреси и фалшиви портали за вход. Той обаче се затруднява с контекстуалната социална преценка, особено когато заявките изглежда идват от доверени колеги. Самата характеристика, която прави асистентите с изкуствен интелект полезни, желанието да бъдат полезни, също създава значителна повърхност за атака.
Въпреки че OpenAI Codex GPT-5.4 демонстрира по-голяма предпазливост от Gemini 3.1 Pro при взаимодействие с външни сайтове или предаване на информация, и двете системи в крайна сметка станаха жертва на сценариите на социалното инженерство.
Една коренна причина, множество пътища на атака
Въпреки използването на различни техники, и двете атаки използваха едни и същи основни възможности:
- Достъп до лична информация.
- Способността за обработка на ненадеждно съдържание.
- Разрешение за изпращане на информация външно.
Когато тези възможности съществуват едновременно без достатъчен контрол, злонамерена визитна картичка и убедителен фишинг имейл могат да доведат до един и същ резултат: неоторизиран достъп до чувствителни данни.
Допълнителни изследвания разкриха подобни проблеми с границите на доверие в екосистемата на OpenClaw. Чрез преобразуване на предишни съвети за сигурност в правила за статичен анализ, изследователите идентифицираха пет допълнителни уязвимости, засягащи интеграциите със Slack, Discord, Matrix, Zalo и Microsoft Teams.
Всяка уязвимост произтичаше от един и същ недостатък в дизайна. Разширенията на каналите разчитаха на променливи показвани имена, а не на постоянни идентификатори, когато оценяваха списъците с разрешени потребители. Следователно, атакуващ можеше да преименува акаунт, за да съответства на одобрен потребител и да получи влияние върху агента. OpenClaw оттогава е отстранила всички идентифицирани проблеми.
Нарастващи опасения относно широките разрешения на агентите
От самото си стартиране, OpenClaw привлече вниманието заради обширните си разрешения. Платформата предоставя достъп до локални файлове, shell среди и повече от двадесет платформи за съобщения, което я прави изключително способна, но и силно изложена на риск.
Опасенията станаха достатъчно сериозни, че холандският орган за защита на данните, Autoriteit Persoonsgegevens, посъветва физически лица и организации да не внедряват OpenClaw в системи, съдържащи чувствителна информация. Органът посочи рискове, включително нарушения на данните и компрометиране на акаунти.
Изграждане на по-безопасни внедрявания на AI агенти
Организациите, използващи OpenClaw, трябва незабавно да надстроят до версия 2026.4.23 или по-нова, за да отстранят уязвимостта към message-object. Освен корекцията обаче, дългосрочната защита зависи от архитектурните контроли, а не от бързия инженеринг.
Специалистите по сигурността препоръчват файловете с инструкции на агентите да се третират като приложими, контролирани от версиите политики, вместо като консултативни насоки. Изходящите комуникации трябва да изискват одобрение, преди да бъдат изпратени до непознати получатели, което намалява вероятността компрометирани агенти да разпространяват атаки чрез доверени акаунти. Разрешенията за достъп също трябва да бъдат обвързани с надеждността на източника на задействане, като се гарантира, че агентите, обработващи външни комуникации, не могат автоматично да имат достъп до високоценни системи, като например платформи за управление на взаимоотношенията с клиенти. Действията с висок риск, включително споделяне на идентификационни данни и финансови транзакции, трябва да останат обект на човешко одобрение.
Нерешеното предизвикателство на автономното доверие
И двата изследователски екипа в крайна сметка стигнаха до едно и също заключение: Агентите с изкуствен интелект не трябва да се разглеждат като инструменти за сигурност. По-точен модел е този на младши служител с широк достъп до системата, но ограничена способност за разпознаване на подозрително поведение. Друга полезна перспектива е да се разглеждат като удостоверени изпълнители, които по своята същност се доверяват на информацията, която получават.
Настоящите мерки за смекчаване на риска се фокусират върху корекции, предпазни мерки и контрол на достъпа. По-широкото предизвикателство обаче остава нерешено. Агент с изкуствен интелект, способен да чете имейли, да изпълнява задачи и да действа самостоятелно, трябва по замисъл да се доверява на входните данни и да се опитва да помага на потребителите. Общността по киберсигурност все още не е разработила универсално решение за това фундаментално напрежение.
