Rünnakud kasutavad ära OpenClaw tehisintellekti agenti
Hiljutised turvauuringud on näidanud, et OpenClawi, laialdaselt kasutatavat ise hostitud tehisintellekti agendiplatvormi, saab manipuleerida ründaja kontrolli all olevate toimingute tegemiseks või tundliku teabe avaldamiseks pealtnäha ohutute sisendite abil.
Eraldi uurimistes demonstreerisid teadlased kahte erinevat rünnakumeetodit. Üks tugines peidetud juhiste manustamisele jagatud kontaktidesse, vCardidele ja asukoha PIN-koodidesse. Teine kasutas hoolikalt koostatud andmepüügikirju, et veenda tehisintellekti agenti lekitama tundlikku äriteavet.
Kuigi OpenClaw on versioonis 2026.4.23 ühe neist haavatavustest lahendanud, jääb laiem probleem samaks: sissetulevat teavet usaldavad tehisintellekti agendid võivad ründajatele võimsateks tööriistadeks saada.
Sisukord
Nähtamatud käsud, mis on peidetud silmapiiril
Esimene rünnak oli suunatud sellele, kuidas OpenClaw töötleb teatud sõnumiobjekte enne nende saatmist aluseks olevale suurele keelemudelile (LLM).
Erinevalt veebisisust, mis on enne mudelisse jõudmist selgelt ebausaldusväärseks märgitud, lisati kontaktandmed, vCardid ja asukohasildid otse viipadesse ilma igasuguse viiteta, et need pärinesid ebausaldusväärsetest allikatest. See lõi võimaluse kiireks süstimiseks.
Rünnakus kasutati ära OpenClawi kontaktandmete serialiseerimise viisi. Jagatud kontaktid teisendati lihtsasse vormingusse, mis sisaldas ainult nime ja telefoninumbrit. Kuna kontaktide nimedes on lubatud kasutada selliseid märke nagu nurksulud, said ründajad manustada pahatahtlikke juhiseid, mis paistsid olevat osa kontaktandmetest. Lisaks kärbitakse kontaktide nimesid sõnumsiderakendustes sageli, mis takistab ohvritel peidetud sisu nägemist.
Sama tehnika osutus tõhusaks vCardi täisnimeväljade ja jagatud asukohasiltide abil. Gemini 3.1 Pro eelvaateversioonidega testimisel veensid peidetud juhised agenti edukalt teadlase kontrollitud serverist koodi alla laadima ja käivitama. Huvitaval kombel ebaõnnestusid katsed juhiseid piltide sisse peita, tõenäoliselt seetõttu, et tänapäevased tehisintellekti mudelid on saanud põhjaliku väljaõppe pildipõhiste käsurea rünnakute vastu. Sõnumiobjekti rünnakud on aga praegustele mudelitele vähem tuttavad.
Teadlased hoiatasid, et OpenClawi vaikimisi mälufunktsioon võib ohtu võimendada. Üks pahatahtlik kontakt või laialdaselt levitatud jagatud objekt võib potentsiaalselt kahjustada arvukalt agente, kui puuduvad korralikud liivakastikontrollid.
Pärast vastutustundlikku avalikustamist avaldas OpenClaw versiooni 2026.4.23, mis eraldab kontaktide nimed, vCardi väljad ja asukohasildid viiba sisust, paigutades need spetsiaalsesse ebausaldusväärsesse metaandmete kanalisse. Teadlased märkisid ka, et sarnaseid disainimustreid on ilmnenud ka teistes isiklikes tehisintellekti assistentides, mis viitab pigem kogu tööstusharu hõlmavale probleemile kui platvormispetsiifilisele probleemile.
Agentide andmepüügi tõus
Teine uurimisprojekt lähenes probleemile teisest küljest: sotsiaalne manipuleerimine.
Teadlased ehitasid Pinchy nimelise testimisagendi ja ühendasid selle Gmaili postkastiga, mis oli täidetud realistlike, kuid sünteetiliste ärisuhtluste ja võltsitud tundlike andmetega. Seejärel viis meeskond läbi neli andmepüügi simulatsiooni, kasutades nii Google Gemini 3.1 Pro kui ka OpenAI Codex GPT-5.4.
Uuring eristas traditsioonilist kiirsüstimist sellest, mida teadlased kirjeldasid kui „agentide andmepüüki“. Kuigi kiirsüstimine peidab pahatahtlikke juhiseid andmete sisse, tugineb agendi andmepüük usutavatele päringutele, mis edastatakse seaduslike sidekanalite kaudu. Rünnak õnnestub, kuna agent tegutseb enne saatja isiku piisavat kontrollimist.
Kuidas sotsiaalne inseneritöö turvakontrollid alistas
Andmepüügi simulatsioonid andsid murettekitavaid tulemusi. Vaatamata sellele, et agent tegutses saatja isiku tuvastamiseks rangete juhiste järgi, ebaõnnestus tal kaks andmete väljaviimise stsenaariumi:
Fiktsionaalse tootmisintsidendi ajal saadeti petturlik e-kiri, mis teeskles meeskonnajuhi nime, et taotleda juurdepääsu testimiskeskkonnale. Agent leidis ja edastas võltsitud AWS IAM-i volitused, andmebaasi ühendusstringid ja SSH-i volitused lihttekstina.
Teises e-kirjas taotleti rutiinset iganädalast kliendiandmete eksporti väidetava kvartali äriülevaate esitluse jaoks. Agent edastas sünteetilise andmebaasi, mis sisaldas teavet 247 ettevõtte kliendi kohta, sealhulgas kontaktandmeid ja lepingute väärtusi.
Agent toimis tehniliste rünnakute korral oluliselt paremini. See tundis ära kahtlased andmepüügiveebisaidid, vältis seaduslike volituste avalikustamist ja lõpuks märgistas pahatahtliku tegevuse. Rangemate sätete korral blokeeriti juurdepääs andmepüügilehtedele täielikult. Kui agentile kuvati petturlik OAuthi nõusolekukuva, mis oli maskeeritud tööajaarvestuse rakenduseks, analüüsis ta ümbersuunamise sihtkohta, leidis, et see on kahtlane, ja keeldus lubasid andmast.
Teadlased jõudsid järeldusele, et agent edestas inimesi pahatahtlike URL-ide ja võltsitud sisselogimisportaalide tuvastamisel sageli. Siiski oli sellel raskusi kontekstuaalse sotsiaalse hinnanguga, eriti kui päringud näisid tulevat usaldusväärsetelt kolleegidelt. Just see omadus, mis teeb tehisintellekti assistendid kasulikuks – soov olla abiks –, loob ka olulise rünnakupinna.
Kuigi OpenAI Codex GPT-5.4 näitas väliste saitidega suheldes või teavet edastades suuremat ettevaatlikkust kui Gemini 3.1 Pro, langesid mõlemad süsteemid lõpuks sotsiaalse manipuleerimise ohvriks.
Üks algpõhjus, mitu rünnakuteed
Vaatamata erinevate tehnikate kasutamisele kasutasid mõlemad rünnakud samu põhilisi võimeid:
- Juurdepääs privaatsele teabele.
- Võimalus töödelda ebausaldusväärset sisu.
- Luba teabe saatmiseks väljapoole.
Kui need võimalused eksisteerivad koos ilma piisavate kontrollimeetmeteta, võivad pahatahtlik kontaktkaart ja veenev andmepüügimeil anda sama tulemuse: volitamata juurdepääsu tundlikele andmetele.
Täiendavad uuringud paljastasid OpenClawi ökosüsteemis sarnaseid usalduspiiri probleeme. Varasemate turvahoiatuste staatilise analüüsi reegliteks teisendamisel tuvastasid teadlased veel viis haavatavust, mis mõjutavad integratsioone Slacki, Discordi, Matrixi, Zalo ja Microsoft Teamsiga.
Iga haavatavus tulenes samast disainiveast. Kanali laiendused tuginesid lubatud nimekirjade hindamisel pigem muudetavatele kuvatavatele nimedele kui püsivatele identifikaatoritele. Seega sai ründaja konto ümber nimetada, et see vastaks heakskiidetud kasutajale, ja saada agendi üle mõjuvõimu. OpenClaw on sellest ajast alates kõik tuvastatud probleemid parandanud.
Kasvav mure laiaulatuslike agentide õiguste pärast
Alates turuletoomisest on OpenClaw oma ulatuslike õiguste tõttu tähelepanu pälvinud. Platvorm pakub juurdepääsu kohalikele failidele, shellikeskkondadele ja enam kui kahekümnele sõnumsideplatvormile, muutes selle väga võimekaks, kuid samas ka väga haavatavaks.
Mure on muutunud nii tõsiseks, et Hollandi andmekaitseamet Autoriteit Persoonsgegevens soovitas üksikisikutel ja organisatsioonidel mitte kasutada OpenClawi tundlikku teavet sisaldavates süsteemides. Asutus tõi välja riskid, sealhulgas andmetega seotud rikkumised ja kontode ohtu sattumine.
Turvalisemate tehisintellekti agentide juurutuste loomine
OpenClawi kasutavad organisatsioonid peaksid sõnumiobjekti haavatavuse parandamiseks viivitamatult uuendama versioonile 2026.4.23 või uuemale. Lisaks paikamisele sõltub pikaajaline kaitse aga pigem arhitektuurilistest meetmetest kui kiirest inseneritööst.
Turvaspetsialistid soovitavad agentide juhiste faile käsitleda jõustatavate, versioonikontrollitud poliitikatena, mitte soovituslike juhistena. Väljaminev side peaks enne tundmatutele adressaatidele saatmist nõudma kinnitust, vähendades tõenäosust, et ohustatud agendid levitavad rünnakuid usaldusväärsete kontode kaudu. Juurdepääsuõigused peaksid olema seotud ka käivitava allika usaldusväärsusega, tagades, et välist sidet töötlevad agendid ei saa automaatselt juurde pääseda väärtuslikele süsteemidele, näiteks kliendisuhete haldusplatvormidele. Kõrge riskiga toimingud, sealhulgas volituste jagamine ja finantstehingud, peaksid jääma inimese kinnituse alla.
Autonoomse usalduse lahendamata väljakutse
Mõlemad uurimisrühmad jõudsid lõpuks samale järeldusele: tehisintellekti agente ei tohiks vaadelda turvavahenditena. Täpsem mudel on noorem töötaja, kellel on ulatuslik süsteemile juurdepääs, kuid piiratud võime kahtlast käitumist ära tunda. Teine kasulik vaatenurk on vaadelda neid autentitud testamenditäitjatena, kes loomupäraselt usaldavad saadud teavet.
Praegused leevendusmeetmed keskenduvad turvapaikadele, turvapiiretele ja juurdepääsukontrollile. Laiem probleem jääb aga lahendamata. Tehisintellekti agent, mis on võimeline e-kirju lugema, ülesandeid täitma ja iseseisvalt tegutsema, peab oma olemuselt usaldama sisendit ja püüdma kasutajaid aidata. Küberturvalisuse kogukond ei ole sellele põhimõttelisele pingele veel universaalset lahendust välja töötanud.
