Επιθέσεις που εκμεταλλεύονται τον παράγοντα τεχνητής νοημοσύνης OpenClaw

Μέχρι το Mezo το Phishing

Μετάφραση σε:

Πρόσφατη έρευνα ασφαλείας αποκάλυψε ότι το OpenClaw, μια ευρέως χρησιμοποιούμενη πλατφόρμα αυτο-φιλοξενούμενων πρακτόρων τεχνητής νοημοσύνης, μπορεί να χειραγωγηθεί ώστε να εκτελεί ενέργειες που ελέγχονται από εισβολείς ή να αποκαλύπτει ευαίσθητες πληροφορίες μέσω φαινομενικά ακίνδυνων εισροών.

Σε ξεχωριστές έρευνες, οι ερευνητές κατέδειξαν δύο ξεχωριστές μεθόδους επίθεσης. Η μία βασιζόταν στην ενσωμάτωση κρυφών οδηγιών μέσα σε κοινόχρηστες επαφές, vCards και pin τοποθεσίας. Η άλλη χρησιμοποίησε προσεκτικά σχεδιασμένα email ηλεκτρονικού "ψαρέματος" (phishing) για να πείσει έναν πράκτορα τεχνητής νοημοσύνης να διαρρεύσει ευαίσθητες επιχειρηματικές πληροφορίες.

Ενώ το OpenClaw έχει αντιμετωπίσει ένα από αυτά τα τρωτά σημεία στην έκδοση 2026.4.23, το ευρύτερο ζήτημα παραμένει αμετάβλητο: οι πράκτορες τεχνητής νοημοσύνης που εμπιστεύονται τις εισερχόμενες πληροφορίες μπορούν να γίνουν ισχυρά εργαλεία για τους εισβολείς.

Πίνακας περιεχομένων

Αόρατες εντολές κρυμμένες σε κοινή θέα

Η πρώτη επίθεση στόχευε στον τρόπο με τον οποίο το OpenClaw επεξεργάζεται ορισμένα αντικείμενα μηνυμάτων πριν τα στείλει στο υποκείμενο μοντέλο μεγάλης γλώσσας (LLM).

Σε αντίθεση με το περιεχόμενο ιστού, το οποίο επισημαίνεται σαφώς ως μη αξιόπιστο πριν φτάσει στο μοντέλο, οι εγγραφές επαφών, οι vCard και οι ετικέτες τοποθεσίας εισήχθησαν απευθείας στις προτροπές χωρίς καμία ένδειξη ότι προέρχονταν από μη αξιόπιστες πηγές. Αυτό δημιούργησε μια ευκαιρία για άμεση εισαγωγή.

Η επίθεση εκμεταλλεύτηκε τον τρόπο με τον οποίο το OpenClaw σειριοποίησε τα στοιχεία επικοινωνίας. Οι κοινόχρηστες επαφές μετατράπηκαν σε απλή μορφή που περιείχε μόνο ένα όνομα και έναν αριθμό τηλεφώνου. Επειδή χαρακτήρες όπως οι αγκύλες επιτρέπονται στα ονόματα των επαφών, οι εισβολείς θα μπορούσαν να ενσωματώσουν κακόβουλες οδηγίες που φαινόταν να αποτελούν μέρος των στοιχείων επικοινωνίας. Επιπλέον, τα ονόματα επαφών συχνά περικόπτονται στις εφαρμογές ανταλλαγής μηνυμάτων, εμποδίζοντας τα θύματα να δουν το κρυφό φορτίο.

Η ίδια τεχνική αποδείχθηκε αποτελεσματική μέσω πεδίων πλήρους ονόματος vCard και ετικετών κοινόχρηστης τοποθεσίας. Κατά τη διάρκεια δοκιμών με τις εκδόσεις προεπισκόπησης Gemini 3.1 Pro, οι κρυφές οδηγίες έπεισαν με επιτυχία τον παράγοντα να κατεβάσει και να εκτελέσει κώδικα από έναν διακομιστή που ελέγχεται από ερευνητή. Είναι ενδιαφέρον ότι οι προσπάθειες απόκρυψης οδηγιών μέσα σε εικόνες απέτυχαν, πιθανώς επειδή τα σύγχρονα μοντέλα τεχνητής νοημοσύνης έχουν λάβει εκτεταμένη εκπαίδευση ενάντια σε επιθέσεις prompt injection που βασίζονται σε εικόνες. Οι επιθέσεις μηνύματος-αντικειμένου, ωστόσο, παραμένουν λιγότερο οικείες στα τρέχοντα μοντέλα.

Οι ερευνητές προειδοποίησαν ότι η προεπιλεγμένη λειτουργικότητα μνήμης του OpenClaw θα μπορούσε να ενισχύσει την απειλή. Μια μεμονωμένη κακόβουλη επαφή ή ένα κοινόχρηστο αντικείμενο που διανέμεται ευρέως θα μπορούσε ενδεχομένως να θέσει σε κίνδυνο πολλούς παράγοντες, εάν δεν υπάρχουν κατάλληλα στοιχεία ελέγχου sandboxing.

Μετά από υπεύθυνη αποκάλυψη, η OpenClaw κυκλοφόρησε την έκδοση 2026.4.23, η οποία διαχωρίζει τα ονόματα επαφών, τα πεδία vCard και τις ετικέτες τοποθεσίας από το περιεχόμενο προτροπής, τοποθετώντας τα σε ένα ειδικό μη αξιόπιστο κανάλι μεταδεδομένων. Οι ερευνητές σημείωσαν επίσης ότι παρόμοια μοτίβα σχεδίασης έχουν εμφανιστεί και σε άλλους προσωπικούς βοηθούς τεχνητής νοημοσύνης, υποδεικνύοντας μια πρόκληση σε ολόκληρο τον κλάδο και όχι ένα πρόβλημα που αφορά συγκεκριμένα την πλατφόρμα.

Η άνοδος του ηλεκτρονικού “ψαρέματος” (phishing) με πράκτορες

Ένα δεύτερο ερευνητικό έργο προσέγγισε το πρόβλημα από μια διαφορετική οπτική γωνία: την κοινωνική μηχανική.

Οι ερευνητές δημιούργησαν έναν δοκιμαστικό παράγοντα με το όνομα Pinchy και τον συνέδεσαν με ένα φάκελο εισερχομένων του Gmail που περιείχε ρεαλιστικές αλλά συνθετικές επιχειρηματικές επικοινωνίες και ψεύτικα ευαίσθητα δεδομένα. Στη συνέχεια, η ομάδα διεξήγαγε τέσσερις προσομοιώσεις ηλεκτρονικού "ψαρέματος" (phishing) χρησιμοποιώντας τόσο το Google Gemini 3.1 Pro όσο και το OpenAI Codex GPT-5.4.

Η μελέτη διέκρινε την παραδοσιακή άμεση έγχυση από αυτό που οι ερευνητές περιέγραψαν ως «phishing μέσω πρακτόρων». Ενώ η άμεση έγχυση κρύβει κακόβουλες οδηγίες μέσα στα δεδομένα, το phishing μέσω πρακτόρων βασίζεται σε αξιόπιστα αιτήματα που υποβάλλονται μέσω νόμιμων καναλιών επικοινωνίας. Η επίθεση επιτυγχάνει επειδή ο πράκτορας ενεργεί πριν επαληθεύσει επαρκώς την ταυτότητα του αποστολέα.

Πώς η Κοινωνική Μηχανική νίκησε τους ελέγχους ασφαλείας

Οι προσομοιώσεις ηλεκτρονικού "ψαρέματος" (phishing) παρήγαγαν ανησυχητικά αποτελέσματα. Παρά το γεγονός ότι λειτουργούσε υπό αυστηρές οδηγίες για την επαλήθευση της ταυτότητας των αποστολέων, ο παράγοντας απέτυχε σε δύο σενάρια εξαγωγής δεδομένων:

Ένα δόλιο email που παρίστανε έναν επικεφαλής ομάδας ζητούσε πρόσβαση κατά τη διάρκεια ενός κατασκευασμένου περιστατικού παραγωγής. Ο εκπρόσωπος εντόπισε και προώθησε ψεύτικα διαπιστευτήρια AWS IAM, συμβολοσειρές σύνδεσης βάσης δεδομένων και διαπιστευτήρια SSH σε απλό κείμενο.

Ένα δεύτερο email ζητούσε μια τακτική εβδομαδιαία εξαγωγή πελατών για μια υποτιθέμενη τριμηνιαία παρουσίαση επιχειρηματικής ανασκόπησης. Ο εκπρόσωπος διαβίβασε μια συνθετική βάση δεδομένων που περιείχε πληροφορίες για 247 εταιρικούς πελάτες, συμπεριλαμβανομένων επαφών και συμβολαίων.

Ο παράγοντας είχε σημαντικά καλύτερη απόδοση όταν αντιμετώπιζε τεχνικές επιθέσεις. Αναγνώρισε ύποπτους ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing), απέφυγε την αποκάλυψη νόμιμων διαπιστευτηρίων και τελικά επισήμανε κακόβουλη δραστηριότητα. Υπό αυστηρότερες ρυθμίσεις, η πρόσβαση σε σελίδες ηλεκτρονικού "ψαρέματος" (phishing) αποκλείστηκε εντελώς. Όταν παρουσιάστηκε μια δόλια οθόνη συγκατάθεσης OAuth που μεταμφιέστηκε σε εφαρμογή φύλλου κατανομής χρόνου, ο παράγοντας ανέλυσε τον προορισμό ανακατεύθυνσης, διαπίστωσε ότι ήταν ύποπτος και αρνήθηκε να παραχωρήσει δικαιώματα.

Οι ερευνητές κατέληξαν στο συμπέρασμα ότι ο παράγοντας συχνά ξεπερνούσε τους ανθρώπους στην αναγνώριση κακόβουλων URL και ψεύτικων πυλών σύνδεσης. Ωστόσο, δυσκολευόταν με την κοινωνική κρίση βάσει των συμφραζομένων, ιδιαίτερα όταν τα αιτήματα φαινόταν να προέρχονται από έμπιστους συναδέλφους. Το ίδιο το χαρακτηριστικό που κάνει τους βοηθούς τεχνητής νοημοσύνης χρήσιμους, η επιθυμία να είναι κάποιος χρήσιμος, δημιουργεί επίσης μια σημαντική επιφάνεια επίθεσης.

Παρόλο που το OpenAI Codex GPT-5.4 επέδειξε μεγαλύτερη προσοχή από το Gemini 3.1 Pro κατά την αλληλεπίδραση με εξωτερικούς ιστότοπους ή τη μετάδοση πληροφοριών, και τα δύο συστήματα τελικά έπεσαν θύματα σεναρίων κοινωνικής μηχανικής.

Μία βασική αιτία, πολλαπλές διαδρομές επίθεσης

Παρά τη χρήση διαφορετικών τεχνικών, και οι δύο επιθέσεις εκμεταλλεύτηκαν τις ίδιες θεμελιώδεις δυνατότητες:

Πρόσβαση σε ιδιωτικές πληροφορίες.

Η δυνατότητα επεξεργασίας μη αξιόπιστου περιεχομένου.

Άδεια αποστολής πληροφοριών εξωτερικά.

Όταν αυτές οι δυνατότητες συνυπάρχουν χωρίς επαρκείς ελέγχους, μια κακόβουλη κάρτα επαφής και ένα πειστικό email ηλεκτρονικού "ψαρέματος" (phishing) μπορούν να έχουν το ίδιο αποτέλεσμα: μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα.

Πρόσθετη έρευνα αποκάλυψε παρόμοια προβλήματα ορίων εμπιστοσύνης στο οικοσύστημα του OpenClaw. Μετατρέποντας προηγούμενες συμβουλές ασφαλείας σε κανόνες στατικής ανάλυσης, οι ερευνητές εντόπισαν πέντε περαιτέρω ευπάθειες που επηρεάζουν τις ενσωματώσεις με τα Slack, Discord, Matrix, Zalo και Microsoft Teams.

Κάθε ευπάθεια προερχόταν από το ίδιο ελάττωμα σχεδιασμού. Οι επεκτάσεις καναλιών βασίζονταν σε μεταβλητά ονόματα εμφάνισης αντί για μόνιμα αναγνωριστικά κατά την αξιολόγηση λιστών επιτρεπόμενων. Ένας εισβολέας θα μπορούσε επομένως να μετονομάσει έναν λογαριασμό ώστε να ταιριάζει με έναν εγκεκριμένο χρήστη και να αποκτήσει επιρροή στον παράγοντα. Το OpenClaw έχει έκτοτε διορθώσει όλα τα εντοπισμένα προβλήματα.

Αυξανόμενες ανησυχίες σχετικά με τα δικαιώματα ευρείας χρήσης πρακτόρων

Από την έναρξή του, το OpenClaw έχει προσελκύσει τον έλεγχο λόγω των εκτεταμένων δικαιωμάτων που προσφέρει. Η πλατφόρμα παρέχει πρόσβαση σε τοπικά αρχεία, περιβάλλοντα κελύφους και περισσότερες από είκοσι πλατφόρμες ανταλλαγής μηνυμάτων, γεγονός που την καθιστά εξαιρετικά ικανή αλλά και ιδιαίτερα εκτεθειμένη.

Οι ανησυχίες έχουν γίνει τόσο έντονες που η ολλανδική αρχή προστασίας δεδομένων, η Autoriteit Persoonsgegevens, συμβούλεψε άτομα και οργανισμούς να μην αναπτύσσουν το OpenClaw σε συστήματα που περιέχουν ευαίσθητες πληροφορίες. Η αρχή επικαλέστηκε κινδύνους, όπως παραβιάσεις δεδομένων και παραβίαση λογαριασμών.

Δημιουργία ασφαλέστερων αναπτύξεων πρακτόρων τεχνητής νοημοσύνης

Οι οργανισμοί που χρησιμοποιούν το OpenClaw θα πρέπει να αναβαθμίσουν αμέσως στην έκδοση 2026.4.23 ή νεότερη για να αντιμετωπίσουν την ευπάθεια του αντικειμένου μηνύματος. Πέρα από την ενημέρωση κώδικα, ωστόσο, η μακροπρόθεσμη προστασία εξαρτάται από τους αρχιτεκτονικούς ελέγχους και όχι από την άμεση μηχανική.

Οι ειδικοί ασφαλείας συνιστούν να αντιμετωπίζονται τα αρχεία οδηγιών των εκπροσώπων ως εκτελεστές πολιτικές ελεγχόμενης έκδοσης αντί για συμβουλευτική καθοδήγηση. Οι εξερχόμενες επικοινωνίες θα πρέπει να απαιτούν έγκριση πριν από την αποστολή μηνυμάτων σε άγνωστους παραλήπτες, μειώνοντας την πιθανότητα οι παραβιασμένοι εκπρόσωποι να διαδίδουν επιθέσεις μέσω αξιόπιστων λογαριασμών. Τα δικαιώματα πρόσβασης θα πρέπει επίσης να συνδέονται με την αξιοπιστία της πηγής ενεργοποίησης, διασφαλίζοντας ότι οι εκπρόσωποι που επεξεργάζονται εξωτερικές επικοινωνίες δεν μπορούν να έχουν αυτόματη πρόσβαση σε συστήματα υψηλής αξίας, όπως πλατφόρμες διαχείρισης σχέσεων πελατών. Οι ενέργειες υψηλού κινδύνου, συμπεριλαμβανομένης της κοινής χρήσης διαπιστευτηρίων και των οικονομικών συναλλαγών, θα πρέπει να εξακολουθούν να υπόκεινται σε ανθρώπινη έγκριση.

Η άλυτη πρόκληση της αυτόνομης εμπιστοσύνης

Και οι δύο ερευνητικές ομάδες κατέληξαν τελικά στο ίδιο συμπέρασμα: Οι πράκτορες τεχνητής νοημοσύνης δεν πρέπει να θεωρούνται εργαλεία ασφαλείας. Ένα πιο ακριβές μοντέλο είναι αυτό ενός νεότερου υπαλλήλου με εκτεταμένη πρόσβαση στο σύστημα αλλά περιορισμένη ικανότητα αναγνώρισης ύποπτης συμπεριφοράς. Μια άλλη χρήσιμη οπτική γωνία είναι να τους θεωρήσουμε ως πιστοποιημένους εκτελεστές που εμπιστεύονται εγγενώς τις πληροφορίες που λαμβάνουν.

Οι τρέχουσες λύσεις μετριασμού επικεντρώνονται σε ενημερώσεις κώδικα (patches), προστατευτικά κιγκλιδώματα (guardrails) και ελέγχους πρόσβασης. Ωστόσο, η ευρύτερη πρόκληση παραμένει άλυτη. Ένας παράγοντας τεχνητής νοημοσύνης (AI) ικανός να διαβάζει email, να εκτελεί εργασίες και να ενεργεί ανεξάρτητα πρέπει, εκ κατασκευής, να εμπιστεύεται τις πληροφορίες που δέχεται και να προσπαθεί να βοηθήσει τους χρήστες. Η κοινότητα της κυβερνοασφάλειας δεν έχει ακόμη αναπτύξει μια καθολική λύση σε αυτή τη θεμελιώδη ένταση.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής

Επιθέσεις που εκμεταλλεύονται τον παράγοντα τεχνητής νοημοσύνης OpenClaw

Αόρατες εντολές κρυμμένες σε κοινή θέα

Η άνοδος του ηλεκτρονικού “ψαρέματος” (phishing) με πράκτορες

Πώς η Κοινωνική Μηχανική νίκησε τους ελέγχους ασφαλείας

Μία βασική αιτία, πολλαπλές διαδρομές επίθεσης

Αυξανόμενες ανησυχίες σχετικά με τα δικαιώματα ευρείας χρήσης πρακτόρων

Δημιουργία ασφαλέστερων αναπτύξεων πρακτόρων τεχνητής νοημοσύνης

Η άλυτη πρόκληση της αυτόνομης εμπιστοσύνης

Υποβάλετε σχόλιο

Τάσεις

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Περισσότερες εμφανίσεις

Eporner.com

Fuq.com

XHAMSTER Ransomware