התקפות ניצול סוכן בינה מלאכותית של OpenClaw

מחקר אבטחה שנערך לאחרונה גילה כי OpenClaw, פלטפורמת סוכני בינה מלאכותית המאוחסנת באופן עצמאי, ניתנת למניפולציה לביצוע פעולות הנשלטות על ידי תוקף או לחשיפת מידע רגיש באמצעות קלט שנראה בלתי מזיק.

בחקירות נפרדות, חוקרים הדגימו שתי שיטות תקיפה שונות. האחת הסתמכה על הטמעת הוראות נסתרות בתוך אנשי קשר משותפים, כרטיסי vCard וסיכות מיקום. השנייה השתמשה בהודעות דוא"ל פישינג שנוצרו בקפידה כדי לשכנע סוכן בינה מלאכותית לדלוף מידע עסקי רגיש.

בעוד ש-OpenClaw טיפלה באחת הפגיעויות הללו בגרסה 2026.4.23, הבעיה הרחבה יותר נותרה ללא שינוי: סוכני בינה מלאכותית שסומכים על מידע נכנס יכולים להפוך לכלי רב עוצמה עבור תוקפים.

פקודות בלתי נראות, נסתרות לעין

ההתקפה הראשונה התמקדה באופן שבו OpenClaw מעבד אובייקטי הודעה מסוימים לפני שליחתם למודל השפה הגדול (LLM) הבסיסי.

בניגוד לתוכן אינטרנט, המסומן בבירור כלא מהימן לפני שהוא מגיע למודל, רשומות אנשי קשר, כרטיסי vCard ותוויות מיקום הוכנסו ישירות להנחיות ללא כל אינדיקציה לכך שמקורן במקורות לא מהימנים. זה יצר הזדמנות להחדרה מהירה.

ההתקפה ניצלה את האופן שבו OpenClaw ביצע סדרה של פרטי קשר. אנשי קשר משותפים הומרו לפורמט פשוט המכיל רק שם ומספר טלפון. מכיוון שתווים כמו סוגריים בסוגריים זוויתיים מותרים בתוך שמות אנשי קשר, תוקפים יכלו להטמיע הוראות זדוניות שנראו כחלק מפרטי הקשר. בנוסף, שמות אנשי קשר נקטעים לעתים קרובות ביישומי העברת הודעות, מה שמונע מקורבנות לראות את המטען הנסתר.

אותה טכניקה הוכחה כיעילה באמצעות שדות שם מלא של vCard ותוויות מיקום משותפות. במהלך בדיקות עם גרסאות תצוגה מקדימה של Gemini 3.1 Pro, הוראות נסתרות שכנעו בהצלחה את הסוכן להוריד ולבצע קוד משרת הנשלט על ידי חוקר. מעניין לציין, שניסיונות להסתיר הוראות בתוך תמונות נכשלו, ככל הנראה משום שמודלים מודרניים של בינה מלאכותית קיבלו הכשרה מקיפה כנגד התקפות הזרקת קוד מבוססות תמונה. התקפות אובייקט-הודעה, לעומת זאת, נותרות פחות מוכרות למודלים הנוכחיים.

חוקרים הזהירו כי פונקציונליות הזיכרון המוגדרת כברירת מחדל של OpenClaw עלולה להגביר את האיום. איש קשר זדוני יחיד או אובייקט משותף המופץ באופן נרחב עלולים לפגוע בסוכנים רבים אם אין בקרות "ארגז חול" מתאימות.

בעקבות גילוי נאות, OpenClaw פרסמה את גרסה 2026.4.23, המפרידה שמות אנשי קשר, שדות vCard ותוויות מיקום מתוכן הפקודה על ידי הצבתם בערוץ מטא-נתונים ייעודי ולא מהימן. חוקרים ציינו גם כי דפוסי עיצוב דומים הופיעו בעוזרים אישיים אחרים של בינה מלאכותית, דבר המצביע על אתגר כלל-תעשייתי ולא על בעיה ספציפית לפלטפורמה.

עליית הפישינג של סוכנים

פרויקט מחקר שני ניגש לבעיה מזווית שונה: הנדסה חברתית.

החוקרים בנו סוכן ניסוי בשם Pinchy וחיברו אותו לתיבת דואר נכנס של Gmail המאוכלסת בתקשורת עסקית ריאליסטית אך סינתטית ובנתונים רגישים מדומים. לאחר מכן, הצוות ביצע ארבע סימולציות פישינג באמצעות Google Gemini 3.1 Pro ו-OpenAI Codex GPT-5.4.

המחקר הבחין בין הזרקה מיידית מסורתית לבין מה שחוקרים תיארו כ'פישינג של סוכנים'. בעוד שהזרקה מיידית מסתירה הוראות זדוניות בתוך נתונים, פישינג של סוכנים מסתמך על בקשות אמינות המועברות דרך ערוצי תקשורת לגיטימיים. ההתקפה מצליחה מכיוון שהסוכן פועל לפני שהוא מאמת כראוי את זהות השולח.

כיצד הנדסה חברתית ניצחה את בקרות האבטחה

סימולציות הפישינג הניבו תוצאות מדאיגות. למרות שפעל תחת הוראות קפדניות לאימות זהות השולח, הסוכן נכשל בשני תרחישי חילוץ נתונים:

דוא"ל הונאה שהתחזה לראש צוות ביקש גישת בימוי במהלך אירוע ייצור מפוברק. הסוכן איתר והעביר פרטי AWS IAM מדומים, מחרוזות חיבור למסד נתונים ופרטי SSH בטקסט רגיל.

אימייל שני ביקש ייצוא לקוחות שבועי שגרתי עבור מצגת סקירה עסקית רבעונית לכאורה. הסוכן העביר מסד נתונים סינתטי המכיל מידע על 247 לקוחות ארגוניים, כולל אנשי קשר וערכי חוזים.

הסוכן ביצע ביצועים טובים משמעותית כאשר התמודד עם התקפות טכניות. הוא זיהה אתרי פישינג חשודים, נמנע מחשיפת אישורים לגיטימיים, ובסופו של דבר סימן פעילות זדונית. תחת הגדרות מחמירות יותר, הגישה לדפי פישינג נחסמה לחלוטין. כאשר הוצג בפניו מסך הסכמה הונאה של OAuth במסווה של יישום גיליון שעות, הסוכן ניתח את יעד ההפניה מחדש, קבע שהוא חשוד וסירב להעניק הרשאות.

החוקרים הגיעו למסקנה כי הסוכן לעתים קרובות עלה על בני אדם בזיהוי כתובות URL זדוניות ופורטלי התחברות מזויפים. עם זאת, הוא התקשה בשיפוט חברתי הקשרי, במיוחד כאשר נראה היה כי בקשות הגיעו מעמיתים מהימנים. עצם המאפיין שהופך את עוזרי הבינה המלאכותית לשימושיים, הרצון להיות מועילים, יוצר גם משטח תקיפה משמעותי.

למרות ש-OpenAI Codex GPT-5.4 הפגין זהירות רבה יותר בהשוואה ל-Gemini 3.1 Pro בעת אינטראקציה עם אתרים חיצוניים או העברת מידע, שתי המערכות נפלו בסופו של דבר קורבן לתרחישי ההנדסה החברתית.

שורש אחד, נתיבי תקיפה מרובים

למרות שימוש בטכניקות שונות, שתי ההתקפות ניצלו את אותן יכולות בסיסיות:

• גישה למידע פרטי.

כאשר יכולות אלו מתקיימות יחד ללא בקרות מספקות, כרטיס קשר זדוני ודוא"ל פישינג משכנע עלולים לייצר את אותה התוצאה: גישה לא מורשית למידע רגיש.

מחקר נוסף חשף בעיות דומות של גבולות אמון בתוך המערכת האקולוגית של OpenClaw. על ידי המרת ייעוץ אבטחה קודמות לכללי ניתוח סטטי, החוקרים זיהו חמש פגיעויות נוספות המשפיעות על אינטגרציות עם Slack, Discord, Matrix, Zalo ו-Microsoft Teams.

כל פגיעות נבעה מאותו פגם עיצובי. הרחבות ערוצים הסתמכו על שמות תצוגה ניתנים לשינוי ולא על מזהים קבועים בעת הערכת רשימות היתרים. לכן, תוקף יכול לשנות שם של חשבון כך שיתאים למשתמש שאושר ולהשיג השפעה על הסוכן. מאז, OpenClaw תיקנה את כל הבעיות שזוהו.

חששות גוברים סביב הרשאות סוכנים רחבות

מאז השקתה, OpenClaw משכה תשומת לב רבה בשל ההרשאות הנרחבות שלה. הפלטפורמה מספקת גישה לקבצים מקומיים, סביבות מעטפת ויותר מעשרים פלטפורמות העברת הודעות, מה שהופך אותה ליכולות גבוהות אך גם לחשיפה גבוהה.

החששות הפכו משמעותיים מספיק עד כדי כך שרשות הגנת המידע ההולנדית, Autoriteit Persoonsgegevens, ייעצה לאנשים פרטיים ולארגונים לא לפרוס את OpenClaw במערכות המכילות מידע רגיש. הרשות ציינה סיכונים הכוללים פרצות נתונים ופגיעה בחשבונות.

בניית פריסות בטוחות יותר של סוכני בינה מלאכותית

ארגונים המשתמשים ב-OpenClaw צריכים לשדרג באופן מיידי לגרסה 2026.4.23 או מאוחר יותר כדי לטפל בפגיעות של אובייקט ההודעה. עם זאת, מעבר לתיקונים, הגנה לטווח ארוך תלויה בבקרות ארכיטקטוניות ולא בהנדסה מהירה.

מומחי אבטחה ממליצים להתייחס לקבצי הוראות לסוכנים כאל מדיניות ניתנת לאכיפה, מבוקרת גרסאות, במקום כאל הנחיות מייעצות. תקשורת יוצאת צריכה לדרוש אישור לפני שליחת הודעות לנמענים לא מוכרים, מה שמפחית את הסבירות שסוכנים שנפגעו יפיצו התקפות דרך חשבונות מהימנים. הרשאות גישה צריכות להיות קשורות גם לאמינות המקור המפעיל, על מנת להבטיח שסוכנים המעבדים תקשורת חיצונית לא יוכלו לגשת אוטומטית למערכות בעלות ערך גבוה כגון פלטפורמות לניהול קשרי לקוחות. פעולות בסיכון גבוה, כולל שיתוף אישורים ועסקאות פיננסיות, צריכות להישאר כפופות לאישור אנושי.

האתגר הבלתי פתור של אמון אוטונומי

שני צוותי המחקר הגיעו בסופו של דבר לאותה מסקנה: אין לראות בסוכני בינה מלאכותית כלי אבטחה. מודל מדויק יותר הוא של עובד זוטר עם גישה נרחבת למערכת אך יכולת מוגבלת לזהות התנהגות חשודה. נקודת מבט שימושית נוספת היא לראות אותם כמבצעים מאומתים אשר מטבעם בוטחים במידע שהם מקבלים.

אמצעי הפחתה נוכחיים מתמקדים בתיקונים, מעקות בטיחות ובקרות גישה. עם זאת, האתגר הרחב יותר נותר בלתי פתור. סוכן בינה מלאכותית המסוגל לקרוא מיילים, לבצע משימות ולפעול באופן עצמאי חייב, מטבעו, לסמוך על קלט ולנסות לעזור למשתמשים. קהילת אבטחת הסייבר טרם פיתחה פתרון אוניברסלי למתח בסיסי זה.