ওপেনক্ল AI এজেন্টের দুর্বলতা কাজে লাগিয়ে আক্রমণ।

সাম্প্রতিক নিরাপত্তা গবেষণায় দেখা গেছে যে, বহুল ব্যবহৃত সেলফ-হোস্টেড এআই এজেন্ট প্ল্যাটফর্ম ওপেনক্ল (OpenClaw)-কে আপাতদৃষ্টিতে নিরীহ ইনপুটের মাধ্যমেও আক্রমণকারী-নিয়ন্ত্রিত কাজ সম্পাদন করতে বা সংবেদনশীল তথ্য ফাঁস করতে প্রভাবিত করা যেতে পারে।

পৃথক দুটি অনুসন্ধানে গবেষকরা দুটি স্বতন্ত্র আক্রমণ পদ্ধতি প্রদর্শন করেছেন। একটি পদ্ধতিতে শেয়ার করা কন্ট্যাক্ট, ভি-কার্ড এবং লোকেশন পিনের ভেতরে গোপন নির্দেশাবলী ঢুকিয়ে দেওয়া হতো। অন্যটিতে, একটি এআই এজেন্টকে সংবেদনশীল ব্যবসায়িক তথ্য ফাঁস করতে প্ররোচিত করার জন্য সতর্কভাবে তৈরি ফিশিং ইমেল ব্যবহার করা হতো।

যদিও ওপেনক্ল তার 2026.4.23 সংস্করণে এই দুর্বলতাগুলোর মধ্যে একটির সমাধান করেছে, বৃহত্তর সমস্যাটি অপরিবর্তিতই রয়ে গেছে: যেসব এআই এজেন্ট আগত তথ্যের ওপর আস্থা রাখে, তারা আক্রমণকারীদের জন্য শক্তিশালী হাতিয়ারে পরিণত হতে পারে।

চোখের সামনেই লুকানো অদৃশ্য আদেশ

প্রথম আক্রমণটি লক্ষ্য করেছিল যে, ওপেনক্ল (OpenClaw) কীভাবে নির্দিষ্ট মেসেজ অবজেক্টগুলোকে অন্তর্নিহিত বৃহৎ ভাষা মডেলে (LLM) পাঠানোর আগে প্রসেস করে।

ওয়েব কন্টেন্টের বিপরীতে, যা মডেলে পৌঁছানোর আগেই স্পষ্টভাবে অবিশ্বস্ত হিসেবে চিহ্নিত করা থাকে, কন্টাক্ট রেকর্ড, ভি-কার্ড এবং লোকেশন লেবেলগুলো যে অবিশ্বস্ত উৎস থেকে এসেছে তার কোনো ইঙ্গিত ছাড়াই সরাসরি প্রম্পটে প্রবেশ করানো হয়েছিল। এর ফলে প্রম্পট ইনজেকশনের একটি সুযোগ তৈরি হয়।

এই আক্রমণটি ওপেনক্ল-এর কন্টাক্ট তথ্য সিরিয়ালাইজ করার পদ্ধতিকে কাজে লাগিয়েছে। শেয়ার করা কন্টাক্টগুলোকে একটি সরল ফরম্যাটে রূপান্তরিত করা হয়েছিল, যেখানে শুধু নাম এবং ফোন নম্বর থাকতো। যেহেতু কন্টাক্টের নামের মধ্যে অ্যাঙ্গেল ব্র্যাকেটের মতো অক্ষর ব্যবহারের অনুমতি আছে, তাই আক্রমণকারীরা ক্ষতিকারক নির্দেশাবলী ঢুকিয়ে দিতে পারতো, যা দেখে মনে হতো কন্টাক্ট তথ্যেরই একটি অংশ। এছাড়াও, মেসেজিং অ্যাপ্লিকেশনগুলোতে কন্টাক্টের নাম প্রায়শই সংক্ষিপ্ত করে দেওয়া হয়, যার ফলে ভুক্তভোগীরা লুকানো পেলোড দেখতে পায় না।

vCard-এর পূর্ণ-নাম ফিল্ড এবং শেয়ার করা লোকেশন লেবেলের মাধ্যমেও একই কৌশল কার্যকর প্রমাণিত হয়েছে। Gemini 3.1 Pro প্রিভিউ বিল্ড দিয়ে পরীক্ষার সময়, লুকানো নির্দেশাবলী সফলভাবে এজেন্টকে একজন গবেষক-নিয়ন্ত্রিত সার্ভার থেকে কোড ডাউনলোড ও এক্সিকিউট করতে প্ররোচিত করেছিল। মজার বিষয় হলো, ছবির মধ্যে নির্দেশাবলী লুকানোর প্রচেষ্টা ব্যর্থ হয়েছে, সম্ভবত কারণ আধুনিক এআই মডেলগুলো ছবি-ভিত্তিক প্রম্পট ইনজেকশন আক্রমণের বিরুদ্ধে ব্যাপক প্রশিক্ষণ পেয়েছে। তবে, মেসেজ-অবজেক্ট আক্রমণ বর্তমান মডেলগুলোর কাছে এখনও ততটা পরিচিত নয়।

গবেষকরা সতর্ক করেছেন যে ওপেনক্ল-এর ডিফল্ট মেমরি কার্যকারিতা এই হুমকিকে আরও বাড়িয়ে তুলতে পারে। যথাযথ স্যান্ডবক্সিং নিয়ন্ত্রণ না থাকলে, ব্যাপকভাবে ছড়িয়ে পড়া একটিমাত্র ক্ষতিকারক কন্ট্যাক্ট বা শেয়ার্ড অবজেক্ট সম্ভাব্যভাবে অসংখ্য এজেন্টকে ঝুঁকিতে ফেলতে পারে।

দায়িত্বশীল প্রকাশের পর, ওপেনক্ল (OpenClaw) সংস্করণ ২০২৬.৪.২৩ প্রকাশ করেছে, যা কন্ট্যাক্ট নাম, ভি-কার্ড ফিল্ড এবং লোকেশন লেবেলগুলোকে প্রম্পট কন্টেন্ট থেকে আলাদা করে একটি ডেডিকেটেড অবিশ্বস্ত মেটাডেটা চ্যানেলে রাখে। গবেষকরা আরও উল্লেখ করেছেন যে, অন্যান্য পার্সোনাল এআই অ্যাসিস্ট্যান্টেও একই ধরনের ডিজাইন প্যাটার্ন দেখা গেছে, যা কোনো প্ল্যাটফর্ম-নির্দিষ্ট সমস্যার পরিবর্তে একটি শিল্প-ব্যাপী চ্যালেঞ্জের ইঙ্গিত দেয়।

এজেন্ট ফিশিংয়ের উত্থান

দ্বিতীয় একটি গবেষণা প্রকল্প সমস্যাটিকে ভিন্ন একটি দৃষ্টিকোণ থেকে দেখেছিল: সামাজিক প্রকৌশল।

গবেষকরা পিঞ্চি নামের একটি পরীক্ষামূলক এজেন্ট তৈরি করেন এবং সেটিকে একটি জিমেইল ইনবক্সের সাথে সংযুক্ত করেন, যেখানে বাস্তবসম্মত কিন্তু কৃত্রিম ব্যবসায়িক যোগাযোগ এবং নকল সংবেদনশীল তথ্য ছিল। এরপর দলটি গুগল জেমিনি ৩.১ প্রো এবং ওপেনএআই কোডেক্স জিপিটি-৫.৪ উভয়ই ব্যবহার করে চারটি ফিশিং সিমুলেশন পরিচালনা করে।

গবেষণাটিতে প্রচলিত প্রম্পট ইনজেকশন এবং গবেষকদের দ্বারা 'এজেন্ট ফিশিং' হিসেবে বর্ণিত পদ্ধতির মধ্যে পার্থক্য তুলে ধরা হয়েছে। প্রম্পট ইনজেকশন যেখানে ডেটার ভেতরে ক্ষতিকারক নির্দেশাবলী লুকিয়ে রাখে, সেখানে এজেন্ট ফিশিং বৈধ যোগাযোগ মাধ্যমের দ্বারা প্রেরিত বিশ্বাসযোগ্য অনুরোধের ওপর নির্ভর করে। এই আক্রমণটি সফল হয়, কারণ এজেন্ট প্রেরকের পরিচয় যথাযথভাবে যাচাই করার আগেই তার কাজ শুরু করে দেয়।

কীভাবে সোশ্যাল ইঞ্জিনিয়ারিং নিরাপত্তা নিয়ন্ত্রণকে অকার্যকর করে দিল

ফিশিং সিমুলেশনগুলো উদ্বেগজনক ফলাফল দিয়েছে। প্রেরকের পরিচয় যাচাই করার কঠোর নির্দেশনা থাকা সত্ত্বেও, এজেন্টটি দুটি ডেটা-এক্সফিলট্রেশন পরিস্থিতিতে ব্যর্থ হয়েছে:

একজন টিম লিডারের ছদ্মবেশে একটি প্রতারণামূলক ইমেইলে একটি সাজানো প্রোডাকশন ইনসিডেন্টের সময় স্টেজিং অ্যাক্সেসের অনুরোধ করা হয়েছিল। এজেন্টটি নকল AWS IAM ক্রেডেনশিয়াল, ডেটাবেস কানেকশন স্ট্রিং এবং SSH ক্রেডেনশিয়াল প্লেইন টেক্সটে খুঁজে বের করে ফরোয়ার্ড করে।

দ্বিতীয় একটি ইমেইলে, একটি কথিত ত্রৈমাসিক ব্যবসায়িক পর্যালোচনা উপস্থাপনার জন্য নিয়মিত সাপ্তাহিক গ্রাহক তথ্য রপ্তানির অনুরোধ করা হয়েছিল। এজেন্টটি একটি কৃত্রিম ডেটাবেস প্রেরণ করেন, যাতে ২৪৭টি প্রাতিষ্ঠানিক গ্রাহকের তথ্য, যেমন যোগাযোগের বিবরণ এবং চুক্তিমূল্য অন্তর্ভুক্ত ছিল।

প্রযুক্তিগত আক্রমণের সম্মুখীন হলে এজেন্টটি উল্লেখযোগ্যভাবে ভালো কাজ করেছে। এটি সন্দেহজনক ফিশিং ওয়েবসাইট শনাক্ত করেছে, বৈধ ক্রেডেনশিয়াল প্রকাশ করা এড়িয়ে গেছে এবং অবশেষে ক্ষতিকারক কার্যকলাপ চিহ্নিত করেছে। আরও কঠোর সেটিংসে, ফিশিং পেজগুলোতে প্রবেশ সম্পূর্ণরূপে ব্লক করা হয়েছিল। একটি টাইমশিট অ্যাপ্লিকেশনের ছদ্মবেশে থাকা প্রতারণামূলক OAuth সম্মতি স্ক্রিন দেখানো হলে, এজেন্টটি রিডাইরেক্টের গন্তব্য বিশ্লেষণ করে সেটিকে সন্দেহজনক বলে নির্ধারণ করে এবং অনুমতি দিতে অস্বীকার করে।

গবেষকরা এই সিদ্ধান্তে পৌঁছেছেন যে, ক্ষতিকর ইউআরএল এবং নকল লগইন পোর্টাল শনাক্ত করার ক্ষেত্রে এজেন্টটি প্রায়শই মানুষের চেয়ে ভালো কাজ করেছে। তবে, প্রাসঙ্গিক সামাজিক বিচার-বিবেচনার ক্ষেত্রে এটি হিমশিম খেয়েছে, বিশেষ করে যখন অনুরোধগুলো বিশ্বস্ত সহকর্মীদের কাছ থেকে এসেছে বলে মনে হয়েছে। যে বৈশিষ্ট্যটি এআই অ্যাসিস্ট্যান্টদের কার্যকর করে তোলে, অর্থাৎ সাহায্য করার ইচ্ছা, সেটিই আবার একটি বড় ধরনের আক্রমণের ক্ষেত্রও তৈরি করে।

যদিও বাহ্যিক সাইটের সাথে যোগাযোগ বা তথ্য প্রেরণের ক্ষেত্রে ওপেনএআই কোডেক্স জিপিটি-৫.৪, জেমিনি ৩.১ প্রো-এর চেয়ে অধিকতর সতর্কতা প্রদর্শন করেছিল, শেষ পর্যন্ত উভয় সিস্টেমই সোশ্যাল ইঞ্জিনিয়ারিং পরিস্থিতির শিকার হয়েছিল।

একটি মূল কারণ, একাধিক আক্রমণের পথ

ভিন্ন কৌশল ব্যবহার করা সত্ত্বেও, উভয় আক্রমণই একই মৌলিক সক্ষমতাকে কাজে লাগিয়েছিল:

• ব্যক্তিগত তথ্যে প্রবেশাধিকার।

যখন এই সক্ষমতাগুলো পর্যাপ্ত নিয়ন্ত্রণ ব্যবস্থা ছাড়া সহাবস্থান করে, তখন একটি ক্ষতিকারক কন্টাক্ট কার্ড এবং একটি বিশ্বাসযোগ্য ফিশিং ইমেল একই ফলাফল ঘটাতে পারে: সংবেদনশীল তথ্যে অননুমোদিত প্রবেশ।

অতিরিক্ত গবেষণায় ওপেনক্ল-এর ইকোসিস্টেমের মধ্যেও একই ধরনের ট্রাস্ট-বাউন্ডারি সমস্যা উন্মোচিত হয়েছে। পূর্ববর্তী নিরাপত্তা সতর্কতাগুলোকে স্ট্যাটিক-অ্যানালাইসিস নিয়মে রূপান্তর করে গবেষকরা আরও পাঁচটি দুর্বলতা শনাক্ত করেছেন, যেগুলো স্ল্যাক, ডিসকর্ড, ম্যাট্রিক্স, জালো এবং মাইক্রোসফট টিমস-এর সাথে ইন্টিগ্রেশনকে প্রভাবিত করে।

প্রতিটি দুর্বলতার উৎস ছিল একই ডিজাইনগত ত্রুটি। চ্যানেল এক্সটেনশনগুলো অনুমোদিত তালিকা মূল্যায়নের সময় স্থায়ী শনাক্তকারীর পরিবর্তে পরিবর্তনযোগ্য প্রদর্শিত নামের ওপর নির্ভর করত। ফলে, একজন আক্রমণকারী কোনো অনুমোদিত ব্যবহারকারীর নামের সাথে মিলিয়ে একটি অ্যাকাউন্টের নাম পরিবর্তন করে এজেন্টের ওপর প্রভাব বিস্তার করতে পারত। ওপেনক্ল এরপর থেকে চিহ্নিত সমস্ত সমস্যার সমাধান করেছে।

এজেন্টদের ব্যাপক অনুমতি নিয়ে ক্রমবর্ধমান উদ্বেগ

চালু হওয়ার পর থেকেই ওপেনক্ল (OpenClaw) তার ব্যাপক পারমিশনের কারণে সমালোচনার কেন্দ্রবিন্দুতে পরিণত হয়েছে। প্ল্যাটফর্মটি লোকাল ফাইল, শেল এনভায়রনমেন্ট এবং বিশটিরও বেশি মেসেজিং প্ল্যাটফর্মে অ্যাক্সেস দেয়, যা এটিকে অত্যন্ত সক্ষম করে তোলার পাশাপাশি অত্যন্ত ঝুঁকিপূর্ণও করে তোলে।

উদ্বেগ এতটাই গুরুতর হয়ে উঠেছে যে ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ, Autoriteit Persoonsgegevens, ব্যক্তি ও প্রতিষ্ঠানগুলোকে সংবেদনশীল তথ্য থাকা সিস্টেমে OpenClaw স্থাপন না করার পরামর্শ দিয়েছে। কর্তৃপক্ষ ডেটা লঙ্ঘন এবং অ্যাকাউন্ট হ্যাক হওয়ার মতো ঝুঁকির কথা উল্লেখ করেছে।

নিরাপদ এআই এজেন্ট স্থাপন তৈরি করা

মেসেজ-অবজেক্ট দুর্বলতাটি সমাধান করার জন্য ওপেনক্ল ব্যবহারকারী সংস্থাগুলোর অবিলম্বে সংস্করণ 2026.4.23 বা তার পরবর্তী সংস্করণে আপগ্রেড করা উচিত। তবে, প্যাচিংয়ের বাইরেও দীর্ঘমেয়াদী সুরক্ষা তাৎক্ষণিক ইঞ্জিনিয়ারিংয়ের চেয়ে স্থাপত্যগত নিয়ন্ত্রণের উপর বেশি নির্ভর করে।

নিরাপত্তা বিশেষজ্ঞরা এজেন্ট নির্দেশিকা ফাইলগুলোকে পরামর্শমূলক নির্দেশনার পরিবর্তে প্রয়োগযোগ্য ও সংস্করণ-নিয়ন্ত্রিত নীতিমালা হিসেবে বিবেচনা করার সুপারিশ করেন। অপরিচিত প্রাপকদের কাছে বার্তা পাঠানোর আগে বহির্গামী যোগাযোগের জন্য অনুমোদনের প্রয়োজন হওয়া উচিত, যা বিশ্বস্ত অ্যাকাউন্টের মাধ্যমে হ্যাক হওয়া এজেন্টদের দ্বারা আক্রমণ ছড়ানোর সম্ভাবনা কমিয়ে দেয়। অ্যাক্সেসের অনুমতিগুলো আক্রমণকারী উৎসের বিশ্বাসযোগ্যতার সাথেও যুক্ত থাকা উচিত, যাতে বাহ্যিক যোগাযোগ প্রক্রিয়াকারী এজেন্টরা গ্রাহক সম্পর্ক ব্যবস্থাপনা প্ল্যাটফর্মের মতো উচ্চ-মূল্যের সিস্টেমগুলোতে স্বয়ংক্রিয়ভাবে প্রবেশ করতে না পারে। ক্রেডেনশিয়াল শেয়ারিং এবং আর্থিক লেনদেনের মতো উচ্চ-ঝুঁকিপূর্ণ কাজগুলো মানুষের অনুমোদনের অধীনেই থাকা উচিত।

স্বায়ত্তশাসিত বিশ্বাসের অমীমাংসিত চ্যালেঞ্জ

উভয় গবেষণা দলই শেষ পর্যন্ত একই সিদ্ধান্তে উপনীত হয়েছে: এআই এজেন্টদের নিরাপত্তা সরঞ্জাম হিসেবে দেখা উচিত নয়। এর চেয়ে আরও সঠিক মডেল হলো এমন একজন নবীন কর্মীর মতো, যার সিস্টেমে ব্যাপক প্রবেশাধিকার থাকলেও সন্দেহজনক আচরণ শনাক্ত করার ক্ষমতা সীমিত। আরেকটি কার্যকর দৃষ্টিভঙ্গি হলো, তাদেরকে এমন প্রমাণীকৃত নির্বাহক হিসেবে দেখা, যারা প্রাপ্ত তথ্যের ওপর সহজাতভাবেই আস্থা রাখে।

বর্তমান প্রতিকার ব্যবস্থাগুলো প্যাচ, গার্ডরেল এবং অ্যাক্সেস কন্ট্রোলের উপর কেন্দ্র করে গড়ে উঠেছে। কিন্তু বৃহত্তর চ্যালেঞ্জটি এখনও অমীমাংসিতই রয়ে গেছে। ইমেল পড়তে, কাজ সম্পাদন করতে এবং স্বাধীনভাবে কাজ করতে সক্ষম একটি এআই এজেন্টকে তার নকশা অনুযায়ীই ব্যবহারকারীদের দেওয়া ইনপুটের উপর বিশ্বাস রাখতে হবে এবং তাদের সাহায্য করার চেষ্টা করতে হবে। সাইবারসিকিউরিটি কমিউনিটি এখনও এই মৌলিক দ্বন্দ্বের কোনো সর্বজনীন সমাধান তৈরি করতে পারেনি।