حملات از عامل هوش مصنوعی OpenClaw سوءاستفاده می‌کنند

تحقیقات امنیتی اخیر نشان داده است که OpenClaw، یک پلتفرم عامل هوش مصنوعی خود-میزبان که به طور گسترده مورد استفاده قرار می‌گیرد، می‌تواند از طریق ورودی‌های به ظاهر بی‌ضرر، برای اجرای اقدامات تحت کنترل مهاجم یا افشای اطلاعات حساس دستکاری شود.

در تحقیقات جداگانه، محققان دو روش حمله متمایز را نشان دادند. یکی از آنها به جاسازی دستورالعمل‌های پنهان در داخل مخاطبین مشترک، کارت‌های مجازی و پین‌های موقعیت مکانی متکی بود. دیگری از ایمیل‌های فیشینگ با دقت طراحی شده برای متقاعد کردن یک عامل هوش مصنوعی برای افشای اطلاعات حساس تجاری استفاده می‌کرد.

در حالی که OpenClaw یکی از این آسیب‌پذیری‌ها را در نسخه 2026.4.23 برطرف کرده است، مسئله گسترده‌تر بدون تغییر باقی مانده است: عوامل هوش مصنوعی که به اطلاعات ورودی اعتماد دارند، می‌توانند به ابزارهای قدرتمندی برای مهاجمان تبدیل شوند.

دستورات نامرئی که در معرض دید ساده پنهان شده‌اند

اولین حمله، نحوه‌ی پردازش اشیاء پیام خاص توسط OpenClaw را قبل از ارسال آنها به مدل زبان بزرگ (LLM) زیربنایی هدف قرار داد.

برخلاف محتوای وب که قبل از رسیدن به مدل، به وضوح به عنوان غیرقابل اعتماد علامت‌گذاری می‌شود، سوابق تماس، کارت‌های مجازی و برچسب‌های مکان مستقیماً در اعلان‌ها وارد می‌شدند، بدون اینکه هیچ نشانه‌ای مبنی بر منشأ آنها از منابع غیرقابل اعتماد وجود داشته باشد. این امر فرصتی برای تزریق اعلان ایجاد می‌کرد.

این حمله از نحوه سریال‌سازی اطلاعات تماس توسط OpenClaw سوءاستفاده کرد. مخاطبین مشترک به قالبی ساده تبدیل می‌شدند که فقط شامل نام و شماره تلفن بود. از آنجا که استفاده از کاراکترهایی مانند براکت در نام مخاطبین مجاز است، مهاجمان می‌توانند دستورالعمل‌های مخربی را که به نظر می‌رسد بخشی از اطلاعات تماس هستند، جاسازی کنند. علاوه بر این، نام مخاطبین اغلب در برنامه‌های پیام‌رسان کوتاه می‌شود و از مشاهده محتوای پنهان توسط قربانیان جلوگیری می‌کند.

همین تکنیک از طریق فیلدهای نام کامل vCard و برچسب‌های مکان مشترک مؤثر واقع شد. در طول آزمایش با نسخه‌های پیش‌نمایش Gemini 3.1 Pro، دستورالعمل‌های پنهان با موفقیت عامل را متقاعد کردند که کد را از یک سرور تحت کنترل محقق دانلود و اجرا کند. جالب اینجاست که تلاش‌ها برای پنهان کردن دستورالعمل‌ها در تصاویر با شکست مواجه شد، احتمالاً به این دلیل که مدل‌های مدرن هوش مصنوعی آموزش گسترده‌ای در برابر حملات تزریق سریع مبتنی بر تصویر دریافت کرده‌اند. با این حال، حملات شیء پیام برای مدل‌های فعلی کمتر آشنا هستند.

محققان هشدار دادند که عملکرد پیش‌فرض حافظه OpenClaw می‌تواند تهدید را تقویت کند. یک تماس مخرب یا شیء مشترک که به طور گسترده توزیع شده باشد، در صورت عدم وجود کنترل‌های مناسب سندباکسینگ، می‌تواند به طور بالقوه عوامل متعددی را به خطر بیندازد.

پس از افشای مسئولانه، OpenClaw نسخه 2026.4.23 را منتشر کرد که نام‌های مخاطبین، فیلدهای کارت مجازی و برچسب‌های مکان را با قرار دادن آنها در یک کانال فراداده غیرقابل اعتماد اختصاصی، از محتوای فوری جدا می‌کند. محققان همچنین خاطرنشان کردند که الگوهای طراحی مشابهی در سایر دستیارهای شخصی هوش مصنوعی ظاهر شده‌اند که نشان دهنده یک چالش در سطح صنعت است و نه یک مسئله خاص پلتفرم.

ظهور فیشینگ عامل

پروژه تحقیقاتی دوم از زاویه دیگری به این مسئله پرداخت: مهندسی اجتماعی.

محققان یک عامل آزمایشی به نام Pinchy ساختند و آن را به یک صندوق ورودی Gmail که مملو از ارتباطات تجاری واقعی اما مصنوعی و داده‌های حساس ساختگی بود، متصل کردند. سپس این تیم چهار شبیه‌سازی فیشینگ را با استفاده از Google Gemini 3.1 Pro و OpenAI Codex GPT-5.4 انجام داد.

این مطالعه، تزریق سریع سنتی را از آنچه محققان آن را «فیشینگ عامل» توصیف می‌کنند، متمایز کرد. در حالی که تزریق سریع، دستورالعمل‌های مخرب را درون داده‌ها پنهان می‌کند، فیشینگ عامل به درخواست‌های باورپذیر ارائه شده از طریق کانال‌های ارتباطی مشروع متکی است. این حمله به این دلیل موفقیت‌آمیز است که عامل قبل از تأیید کافی هویت فرستنده، اقدام می‌کند.

چگونه مهندسی اجتماعی کنترل‌های امنیتی را شکست داد

شبیه‌سازی‌های فیشینگ نتایج نگران‌کننده‌ای به همراه داشت. با وجود اینکه عامل تحت دستورالعمل‌های سختگیرانه برای تأیید هویت فرستنده عمل می‌کرد، در دو سناریوی خروج داده‌ها شکست خورد:

یک ایمیل جعلی که خود را به عنوان سرپرست تیم جا زده بود، در طول یک حادثه تولید ساختگی، درخواست دسترسی موقت کرد. عامل، اعتبارنامه‌های جعلی AWS IAM، رشته‌های اتصال پایگاه داده و اعتبارنامه‌های SSH را به صورت متن ساده پیدا و ارسال کرد.

ایمیل دوم درخواست خروجی گرفتن از مشتریان به صورت هفتگی و روتین برای ارائه‌ی بررسی فصلی کسب‌وکار را داشت. نماینده یک پایگاه داده‌ی ترکیبی حاوی اطلاعات ۲۴۷ مشتری سازمانی، از جمله اطلاعات تماس و ارزش قراردادها، ارسال کرد.

این عامل در مواجهه با حملات فنی عملکرد بسیار بهتری داشت. وب‌سایت‌های فیشینگ مشکوک را تشخیص داد، از افشای اطلاعات معتبر جلوگیری کرد و در نهایت فعالیت‌های مخرب را علامت‌گذاری کرد. تحت تنظیمات سختگیرانه‌تر، دسترسی به صفحات فیشینگ به طور کامل مسدود شد. هنگامی که با یک صفحه رضایت جعلی OAuth که در قالب یک برنامه timesheet ارائه شده بود، مواجه شد، عامل مقصد تغییر مسیر را تجزیه و تحلیل کرد، آن را مشکوک تشخیص داد و از اعطای مجوز خودداری کرد.

محققان به این نتیجه رسیدند که این عامل اغلب در شناسایی URLهای مخرب و پورتال‌های ورود جعلی، عملکرد بهتری نسبت به انسان‌ها دارد. با این حال، در قضاوت اجتماعی زمینه‌ای، به ویژه هنگامی که درخواست‌ها از همکاران مورد اعتماد ارسال می‌شدند، با مشکل مواجه بود. همان ویژگی که دستیاران هوش مصنوعی را مفید می‌کند، یعنی تمایل به مفید بودن، سطح حمله قابل توجهی را نیز ایجاد می‌کند.

اگرچه OpenAI Codex GPT-5.4 هنگام تعامل با سایت‌های خارجی یا انتقال اطلاعات، احتیاط بیشتری نسبت به Gemini 3.1 Pro نشان داد، اما در نهایت هر دو سیستم قربانی سناریوهای مهندسی اجتماعی شدند.

یک علت ریشه‌ای، چندین مسیر حمله

با وجود استفاده از تکنیک‌های مختلف، هر دو حمله از قابلیت‌های اساسی یکسانی سوءاستفاده کردند:

• دسترسی به اطلاعات خصوصی.

وقتی این قابلیت‌ها بدون کنترل کافی در کنار هم وجود داشته باشند، یک کارت تماس مخرب و یک ایمیل فیشینگ متقاعدکننده می‌توانند نتیجه یکسانی داشته باشند: دسترسی غیرمجاز به داده‌های حساس.

تحقیقات بیشتر، مشکلات مشابه مرز اعتماد را در اکوسیستم OpenClaw آشکار کرد. محققان با تبدیل توصیه‌های امنیتی قبلی به قوانین تحلیل ایستا، پنج آسیب‌پذیری دیگر را شناسایی کردند که بر ادغام با Slack، Discord، Matrix، Zalo و Microsoft Teams تأثیر می‌گذارند.

هر آسیب‌پذیری ناشی از یک نقص طراحی مشابه بود. افزونه‌های کانال هنگام ارزیابی لیست‌های مجاز، به جای شناسه‌های دائمی، به نام‌های نمایشی قابل تغییر متکی بودند. بنابراین، یک مهاجم می‌تواند نام یک حساب کاربری را تغییر دهد تا با یک کاربر تأیید شده مطابقت داشته باشد و بر عامل نفوذ کند. OpenClaw از آن زمان تمام مشکلات شناسایی شده را برطرف کرده است.

نگرانی‌های فزاینده پیرامون مجوزهای گسترده‌ی عامل‌ها

از زمان راه‌اندازی، OpenClaw به دلیل مجوزهای گسترده‌اش مورد توجه قرار گرفته است. این پلتفرم دسترسی به فایل‌های محلی، محیط‌های پوسته و بیش از بیست پلتفرم پیام‌رسان را فراهم می‌کند که آن را بسیار توانمند اما در عین حال بسیار در معرض خطر می‌کند.

نگرانی‌ها به اندازه‌ای جدی شده‌اند که مرجع حفاظت از داده‌های هلند، Autoriteit Persoonsgegevens، به افراد و سازمان‌ها توصیه کرد که از OpenClaw روی سیستم‌های حاوی اطلاعات حساس استفاده نکنند. این مرجع خطراتی از جمله نقض داده‌ها و به خطر افتادن حساب‌ها را ذکر کرد.

ایجاد استقرارهای ایمن‌تر عامل‌های هوش مصنوعی

سازمان‌هایی که از OpenClaw استفاده می‌کنند باید فوراً آن را به نسخه 2026.4.23 یا بالاتر ارتقا دهند تا آسیب‌پذیری شیء پیام را برطرف کنند. با این حال، فراتر از وصله کردن، محافظت بلندمدت به کنترل‌های معماری بستگی دارد تا مهندسی سریع.

متخصصان امنیتی توصیه می‌کنند که به جای راهنمایی‌های مشاوره‌ای، با فایل‌های دستورالعمل عامل به عنوان سیاست‌های قابل اجرا و کنترل‌شده با نسخه رفتار شود. ارتباطات خروجی باید قبل از ارسال پیام‌ها به گیرندگان ناآشنا نیاز به تأیید داشته باشند و این امر احتمال گسترش حملات توسط عامل‌های آسیب‌دیده از طریق حساب‌های کاربری مورد اعتماد را کاهش می‌دهد. مجوزهای دسترسی همچنین باید به قابل اعتماد بودن منبع تحریک‌کننده مرتبط باشند و اطمینان حاصل شود که عامل‌های پردازش ارتباطات خارجی نمی‌توانند به طور خودکار به سیستم‌های با ارزش بالا مانند پلتفرم‌های مدیریت ارتباط با مشتری دسترسی پیدا کنند. اقدامات پرخطر، از جمله اشتراک‌گذاری اعتبارنامه و تراکنش‌های مالی، باید همچنان منوط به تأیید انسانی باشند.

چالش حل نشده اعتماد خودمختار

هر دو تیم تحقیقاتی در نهایت به نتیجه یکسانی رسیدند: نباید به عوامل هوش مصنوعی به عنوان ابزارهای امنیتی نگاه کرد. یک مدل دقیق‌تر، مدل یک کارمند تازه‌کار با دسترسی گسترده به سیستم اما توانایی محدود در تشخیص رفتارهای مشکوک است. دیدگاه مفید دیگر این است که آنها را به عنوان مجریان معتبری در نظر بگیریم که ذاتاً به اطلاعاتی که دریافت می‌کنند اعتماد دارند.

راهکارهای کاهش خطرات فعلی بر روی وصله‌ها، محافظ‌ها و کنترل‌های دسترسی تمرکز دارند. با این حال، چالش گسترده‌تر همچنان حل نشده باقی مانده است. یک عامل هوش مصنوعی که قادر به خواندن ایمیل‌ها، اجرای وظایف و عملکرد مستقل است، باید به طور خاص به ورودی‌ها اعتماد کند و سعی در کمک به کاربران داشته باشد. جامعه امنیت سایبری هنوز یک راه حل جهانی برای این تنش اساسی ایجاد نکرده است.