Angreb udnytter OpenClaw AI-agent

Med Mezo i Phishing

Oversæt til:

Nyere sikkerhedsforskning har afsløret, at OpenClaw, en udbredt selvhostet AI-agentplatform, kan manipuleres til at udføre angriberstyrede handlinger eller afsløre følsomme oplysninger gennem tilsyneladende harmløse input.

I separate undersøgelser demonstrerede forskere to forskellige angrebsmetoder. Den ene baserede sig på at integrere skjulte instruktioner i delte kontakter, vCards og placeringspinde. Den anden brugte omhyggeligt udformede phishing-e-mails til at overbevise en AI-agent om at lække følsomme forretningsoplysninger.

Selvom OpenClaw har adresseret en af disse sårbarheder i version 2026.4.23, forbliver det bredere problem uændret: AI-agenter, der stoler på indgående information, kan blive kraftfulde værktøjer for angribere.

Indholdsfortegnelse

Usynlige kommandoer skjult i almindeligt syn

Det første angreb var rettet mod, hvordan OpenClaw behandler bestemte beskedobjekter, før de sendes til den underliggende store sprogmodel (LLM).

I modsætning til webindhold, som tydeligt markeres som usikkert, før det når modellen, blev kontaktposter, vCards og lokationsetiketter indsat direkte i prompts uden nogen indikation af, at de stammer fra kilder, der ikke er tillid til. Dette skabte en mulighed for hurtig indsprøjtning.

Angrebet udnyttede den måde, OpenClaw serialiserede kontaktoplysninger på. Delte kontakter blev konverteret til et simpelt format, der kun indeholdt et navn og et telefonnummer. Da tegn som f.eks. vinkelparenteser er tilladt i kontaktnavne, kunne angribere integrere ondsindede instruktioner, der så ud til at være en del af kontaktoplysningerne. Derudover afkortes kontaktnavne ofte i beskedprogrammer, hvilket forhindrer ofrene i at se den skjulte data.

Den samme teknik viste sig effektiv gennem vCard-fulde navnefelter og delte lokationsetiketter. Under test med Gemini 3.1 Pro preview-builds lykkedes det at overtale skjulte instruktioner agenten til at downloade og udføre kode fra en forskerkontrolleret server. Interessant nok mislykkedes forsøg på at skjule instruktioner i billeder, sandsynligvis fordi moderne AI-modeller har modtaget omfattende træning mod billedbaserede prompt injection-angreb. Message-object-angreb er dog stadig mindre velkendte for nuværende modeller.

Forskere advarede om, at OpenClaws standardhukommelsesfunktionalitet kunne forstærke truslen. En enkelt ondsindet kontakt eller et delt objekt, der distribueres bredt, kan potentielt kompromittere adskillige agenter, hvis der ikke findes passende sandboxing-kontroller.

Efter ansvarlig offentliggørelse udgav OpenClaw version 2026.4.23, som adskiller kontaktnavne, vCard-felter og lokationsetiketter fra promptindhold ved at placere dem i en dedikeret, ikke-tillidsfuld metadatakanal. Forskere bemærkede også, at lignende designmønstre er opstået i andre personlige AI-assistenter, hvilket indikerer en brancheomfattende udfordring snarere end et platformspecifikt problem.

Fremkomsten af agentphishing

Et andet forskningsprojekt greb problemet an fra en anden vinkel: social engineering.

Forskerne byggede en testafgift ved navn Pinchy og forbandt den til en Gmail-indbakke fyldt med realistisk, men syntetisk forretningskommunikation og simulerede følsomme data. Holdet udførte derefter fire phishing-simuleringer ved hjælp af både Google Gemini 3.1 Pro og OpenAI Codex GPT-5.4.

Undersøgelsen skelnede mellem traditionel prompt injection og det, som forskere beskrev som 'agent phishing'. Mens prompt injection skjuler ondsindede instruktioner inde i data, er agent phishing afhængig af troværdige anmodninger, der leveres via legitime kommunikationskanaler. Angrebet lykkes, fordi agenten handler, før afsenderens identitet er tilstrækkeligt verificeret.

Hvordan social engineering besejrede sikkerhedskontroller

Phishing-simuleringerne gav bekymrende resultater. Selvom agenten opererede under strenge instruktioner om at verificere afsenderidentiteter, mislykkedes det to scenarier med dataeksfiltrering:

En falsk e-mail, der udgav sig for at være en teamleder, anmodede om adgang til staging under en fabrikeret produktionshændelse. Agenten fandt og videresendte falske AWS IAM-legitimationsoplysninger, databaseforbindelsesstrenge og SSH-legitimationsoplysninger i almindelig tekst.

En anden e-mail anmodede om en rutinemæssig ugentlig kundeeksport til en angivelig kvartalsvis præsentation af virksomhedsrapporten. Agenten overførte en syntetisk database med oplysninger om 247 virksomhedskunder, herunder kontakter og kontraktværdier.

Agenten klarede sig betydeligt bedre, når den stod over for tekniske angreb. Den genkendte mistænkelige phishing-websteder, undgik at afsløre legitime legitimationsoplysninger og markerede til sidst ondsindet aktivitet. Under strengere indstillinger blev adgangen til phishing-sider blokeret fuldstændigt. Da agenten blev præsenteret for en falsk OAuth-samtykkeskærm forklædt som en timeseddelapplikation, analyserede den omdirigeringsdestinationen, fastslog, at den var mistænkelig og nægtede at give tilladelser.

Forskerne konkluderede, at agenten ofte klarede sig bedre end mennesker i forhold til at identificere ondsindede URL'er og falske loginportaler. Den kæmpede dog med kontekstuel social dømmekraft, især når anmodninger syntes at komme fra betroede kolleger. Netop den egenskab, der gør AI-assistenter nyttige, ønsket om at være hjælpsomme, skaber også en betydelig angrebsflade.

Selvom OpenAI Codex GPT-5.4 udviste større forsigtighed end Gemini 3.1 Pro, når den interagerede med eksterne websteder eller transmitterede information, blev begge systemer i sidste ende ofre for social engineering-scenarierne.

Én grundårsag, flere angrebsveje

Selvom de brugte forskellige teknikker, udnyttede begge angreb de samme grundlæggende muligheder:

Adgang til private oplysninger.

Evnen til at behandle upålidelig indhold.

Tilladelse til at sende oplysninger eksternt.

Når disse funktioner sameksisterer uden tilstrækkelige kontroller, kan et ondsindet kontaktkort og en overbevisende phishing-e-mail give det samme resultat: uautoriseret adgang til følsomme data.

Yderligere forskning afdækkede lignende problemer med tillidsgrænser i OpenClaws økosystem. Ved at konvertere tidligere sikkerhedsrådgivninger til regler for statisk analyse identificerede forskerne yderligere fem sårbarheder, der påvirker integrationer med Slack, Discord, Matrix, Zalo og Microsoft Teams.

Hver sårbarhed stammede fra den samme designfejl. Kanaludvidelser var afhængige af ændrede visningsnavne i stedet for permanente identifikatorer, når de evaluerede tilladelseslister. En angriber kunne derfor omdøbe en konto, så den matchede en godkendt bruger, og få indflydelse på agenten. OpenClaw har siden rettet alle identificerede problemer.

Voksende bekymringer omkring brede agenttilladelser

Siden lanceringen har OpenClaw tiltrukket sig opmærksomhed på grund af sine omfattende tilladelser. Platformen giver adgang til lokale filer, shell-miljøer og mere end tyve messaging-platforme, hvilket gør den yderst kapabel, men også yderst eksponeret.

Bekymringerne er blevet så store, at den hollandske databeskyttelsesmyndighed, Autoriteit Persoonsgegevens, har frarådet enkeltpersoner og organisationer at implementere OpenClaw på systemer, der indeholder følsomme oplysninger. Myndigheden nævnte risici, herunder databrud og kompromittering af konti.

Opbygning af sikrere implementeringer af AI-agenter

Organisationer, der bruger OpenClaw, bør straks opgradere til version 2026.4.23 eller nyere for at afhjælpe sårbarheden i message-object. Ud over patches afhænger langsigtet beskyttelse dog af arkitektoniske kontroller snarere end hurtig udvikling.

Sikkerhedsspecialister anbefaler at behandle agentinstruktionsfiler som håndhævelige, versionsstyrede politikker i stedet for rådgivende vejledning. Udgående kommunikation bør kræve godkendelse, før meddelelser sendes til ukendte modtagere, hvilket reducerer sandsynligheden for, at kompromitterede agenter spreder angreb via betroede konti. Adgangstilladelser bør også være knyttet til den udløsende kildes troværdighed, hvilket sikrer, at agenter, der behandler ekstern kommunikation, ikke automatisk kan få adgang til systemer med høj værdi, såsom platforme til styring af kunderelationer. Højrisikohandlinger, herunder deling af legitimationsoplysninger og finansielle transaktioner, bør fortsat være underlagt menneskelig godkendelse.

Den uløste udfordring med autonom tillid

Begge forskerhold nåede i sidste ende frem til den samme konklusion: AI-agenter bør ikke ses som sikkerhedsværktøjer. En mere præcis model er en juniormedarbejder med omfattende systemadgang, men begrænset evne til at genkende mistænkelig adfærd. Et andet nyttigt perspektiv er at se dem som autentificerede udførere, der i sagens natur har tillid til de oplysninger, de modtager.

Nuværende afhjælpningsforanstaltninger fokuserer på programrettelser, beskyttelsesrækværk og adgangskontroller. Den bredere udfordring er dog stadig uløst. En AI-agent, der er i stand til at læse e-mails, udføre opgaver og handle uafhængigt, skal som standard stole på input og forsøge at hjælpe brugerne. Cybersikkerhedsmiljøet har endnu ikke udviklet en universel løsning på denne grundlæggende spænding.

EnigmaSofts betalingsprocessor Digital River GmbH, der indgiver konkursbegæring, påvirker ikke SpyHunter-kunders anti-malware-beskyttelse

Søg

Skift region

Angreb udnytter OpenClaw AI-agent

Usynlige kommandoer skjult i almindeligt syn

Fremkomsten af agentphishing

Hvordan social engineering besejrede sikkerhedskontroller

Én grundårsag, flere angrebsveje

Voksende bekymringer omkring brede agenttilladelser

Opbygning af sikrere implementeringer af AI-agenter

Den uløste udfordring med autonom tillid

Tilføj kommentar

Trending

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Mest sete

Sådan løses 'Fejl ved' Printerdriver er ikke...

Discord viser sort skærm, når skærmdeles

Eporner.com