हमलों में ओपनक्लॉ एआई एजेंट का फायदा उठाया गया

हाल ही में हुए सुरक्षा अनुसंधान से पता चला है कि ओपनक्लॉ, एक व्यापक रूप से उपयोग किया जाने वाला स्व-होस्टेड एआई एजेंट प्लेटफॉर्म, को हानिरहित प्रतीत होने वाले इनपुट के माध्यम से हमलावर-नियंत्रित कार्यों को निष्पादित करने या संवेदनशील जानकारी का खुलासा करने के लिए हेरफेर किया जा सकता है।

अलग-अलग जांचों में, शोधकर्ताओं ने हमले के दो विशिष्ट तरीके प्रदर्शित किए। एक तरीका साझा संपर्कों, वीकार्ड और लोकेशन पिन के अंदर छिपे निर्देशों को एम्बेड करने पर आधारित था। दूसरा तरीका सावधानीपूर्वक तैयार किए गए फ़िशिंग ईमेल का उपयोग करके एक एआई एजेंट को संवेदनशील व्यावसायिक जानकारी लीक करने के लिए राजी करना था।

हालांकि ओपनक्लॉ ने संस्करण 2026.4.23 में इनमें से एक भेद्यता को दूर कर दिया है, लेकिन व्यापक समस्या अपरिवर्तित बनी हुई है: एआई एजेंट जो आने वाली जानकारी पर भरोसा करते हैं, हमलावरों के लिए शक्तिशाली उपकरण बन सकते हैं।

सबके सामने छिपे अदृश्य आदेश

पहले हमले में ओपनक्लॉ द्वारा कुछ संदेश ऑब्जेक्ट्स को अंतर्निहित बड़े भाषा मॉडल (एलएलएम) में भेजने से पहले उन्हें संसाधित करने के तरीके को लक्षित किया गया था।

वेब सामग्री के विपरीत, जिसे मॉडल तक पहुंचने से पहले स्पष्ट रूप से अविश्वसनीय के रूप में चिह्नित किया जाता है, संपर्क रिकॉर्ड, वीकार्ड और स्थान लेबल सीधे प्रॉम्प्ट में डाले गए थे, बिना इस बात का कोई संकेत दिए कि वे अविश्वसनीय स्रोतों से आए हैं। इससे प्रॉम्प्ट इंजेक्शन का अवसर पैदा हुआ।

इस हमले में ओपनक्लॉ द्वारा संपर्क जानकारी को क्रमबद्ध करने के तरीके का फायदा उठाया गया। साझा संपर्कों को केवल नाम और फ़ोन नंबर वाले एक सरल प्रारूप में परिवर्तित किया गया। चूंकि संपर्क नामों में कोणीय कोष्ठक जैसे वर्णों की अनुमति होती है, इसलिए हमलावर संपर्क जानकारी का हिस्सा प्रतीत होने वाले दुर्भावनापूर्ण निर्देशों को एम्बेड कर सकते थे। इसके अलावा, मैसेजिंग एप्लिकेशन में संपर्क नाम अक्सर छोटे कर दिए जाते हैं, जिससे पीड़ित छिपे हुए पेलोड को नहीं देख पाते।

यही तकनीक vCard के पूरे नाम वाले फ़ील्ड और साझा स्थान लेबल के ज़रिए कारगर साबित हुई। Gemini 3.1 Pro के प्रीव्यू बिल्ड के साथ परीक्षण के दौरान, छिपे हुए निर्देशों ने एजेंट को शोधकर्ता द्वारा नियंत्रित सर्वर से कोड डाउनलोड और निष्पादित करने के लिए सफलतापूर्वक प्रेरित किया। दिलचस्प बात यह है कि छवियों के भीतर निर्देश छिपाने के प्रयास विफल रहे, संभवतः इसलिए क्योंकि आधुनिक AI मॉडल को छवि-आधारित प्रॉम्प्ट इंजेक्शन हमलों के विरुद्ध व्यापक प्रशिक्षण प्राप्त है। हालाँकि, संदेश-वस्तु हमलों से वर्तमान मॉडल अभी भी कम परिचित हैं।

शोधकर्ताओं ने चेतावनी दी कि ओपनक्लॉ की डिफ़ॉल्ट मेमोरी कार्यक्षमता खतरे को बढ़ा सकती है। यदि उचित सैंडबॉक्सिंग नियंत्रण मौजूद नहीं हैं, तो व्यापक रूप से वितरित एक दुर्भावनापूर्ण संपर्क या साझा ऑब्जेक्ट संभावित रूप से कई एजेंटों को खतरे में डाल सकता है।

ज़िम्मेदार प्रकटीकरण के बाद, OpenClaw ने संस्करण 2026.4.23 जारी किया, जो संपर्क नामों, vCard फ़ील्ड और स्थान लेबल को प्रॉम्प्ट सामग्री से अलग करके एक समर्पित अविश्वसनीय मेटाडेटा चैनल में रखता है। शोधकर्ताओं ने यह भी पाया कि इसी तरह के डिज़ाइन पैटर्न अन्य व्यक्तिगत AI सहायकों में भी दिखाई दिए हैं, जो किसी प्लेटफ़ॉर्म-विशिष्ट समस्या के बजाय उद्योग-व्यापी चुनौती का संकेत देते हैं।

एजेंट फ़िशिंग का बढ़ता चलन

एक दूसरे शोध परियोजना ने इस समस्या को एक अलग दृष्टिकोण से देखा: सामाजिक इंजीनियरिंग।

शोधकर्ताओं ने पिंची नामक एक परीक्षण एजेंट बनाया और उसे वास्तविक लेकिन कृत्रिम व्यावसायिक संचार और नकली संवेदनशील डेटा से भरे जीमेल इनबॉक्स से जोड़ा। इसके बाद टीम ने Google Gemini 3.1 Pro और OpenAI Codex GPT-5.4 दोनों का उपयोग करके चार फ़िशिंग सिमुलेशन किए।

इस अध्ययन में पारंपरिक प्रॉम्प्ट इंजेक्शन और शोधकर्ताओं द्वारा वर्णित 'एजेंट फ़िशिंग' के बीच अंतर बताया गया है। प्रॉम्प्ट इंजेक्शन में दुर्भावनापूर्ण निर्देश डेटा के भीतर छिपे होते हैं, जबकि एजेंट फ़िशिंग विश्वसनीय अनुरोधों पर निर्भर करती है जो वैध संचार चैनलों के माध्यम से भेजे जाते हैं। यह हमला इसलिए सफल होता है क्योंकि एजेंट प्रेषक की पहचान की पर्याप्त पुष्टि किए बिना ही कार्रवाई कर देता है।

सोशल इंजीनियरिंग ने सुरक्षा नियंत्रणों को कैसे विफल किया

फ़िशिंग सिमुलेशन से चिंताजनक परिणाम सामने आए। प्रेषक की पहचान सत्यापित करने के सख्त निर्देशों के बावजूद, एजेंट दो डेटा-एक्सफ़िल्ट्रेशन परिदृश्यों में विफल रहा:

एक फर्जी ईमेल में टीम लीडर का रूप धारण करके एक मनगढ़ंत प्रोडक्शन घटना के दौरान स्टेजिंग एक्सेस का अनुरोध किया गया। एजेंट ने नकली AWS IAM क्रेडेंशियल, डेटाबेस कनेक्शन स्ट्रिंग और SSH क्रेडेंशियल को सादे टेक्स्ट में खोजकर आगे भेज दिया।

दूसरे ईमेल में कथित त्रैमासिक व्यापार समीक्षा प्रस्तुति के लिए नियमित साप्ताहिक ग्राहक डेटा निर्यात का अनुरोध किया गया था। एजेंट ने 247 उद्यम ग्राहकों की जानकारी वाला एक कृत्रिम डेटाबेस भेजा, जिसमें संपर्क विवरण और अनुबंध मूल्य शामिल थे।

तकनीकी हमलों का सामना करने पर एजेंट का प्रदर्शन काफी बेहतर रहा। इसने संदिग्ध फ़िशिंग वेबसाइटों को पहचाना, वैध क्रेडेंशियल्स को उजागर होने से बचाया और अंततः दुर्भावनापूर्ण गतिविधि को चिह्नित किया। सख्त सेटिंग्स के तहत, फ़िशिंग पेजों तक पहुंच पूरी तरह से अवरुद्ध कर दी गई। जब टाइमशीट एप्लिकेशन के रूप में प्रस्तुत एक फर्जी OAuth सहमति स्क्रीन दिखाई गई, तो एजेंट ने रीडायरेक्ट गंतव्य का विश्लेषण किया, उसे संदिग्ध पाया और अनुमति देने से इनकार कर दिया।

शोधकर्ताओं ने निष्कर्ष निकाला कि दुर्भावनापूर्ण यूआरएल और नकली लॉगिन पोर्टल की पहचान करने में एजेंट अक्सर मनुष्यों से बेहतर प्रदर्शन करता है। हालांकि, यह प्रासंगिक सामाजिक निर्णय लेने में संघर्ष करता है, विशेष रूप से तब जब अनुरोध विश्वसनीय सहयोगियों से आते प्रतीत होते हैं। कृत्रिम बुद्धिमत्ता सहायकों को उपयोगी बनाने वाली विशेषता, यानी मददगार बनने की इच्छा, एक महत्वपूर्ण हमले का जोखिम भी पैदा करती है।

हालांकि ओपनएआई कोडेक्स जीपीटी-5.4 ने बाहरी साइटों के साथ बातचीत करने या जानकारी प्रसारित करने के मामले में जेमिनी 3.1 प्रो की तुलना में अधिक सावधानी बरती, लेकिन अंततः दोनों सिस्टम सोशल इंजीनियरिंग परिदृश्यों का शिकार हो गए।

एक मूल कारण, अनेक आक्रमण मार्ग

अलग-अलग तकनीकों का इस्तेमाल करने के बावजूद, दोनों हमलों ने एक ही मूलभूत क्षमताओं का फायदा उठाया:

• निजी जानकारी तक पहुंच।

जब पर्याप्त नियंत्रण के बिना ये क्षमताएं एक साथ मौजूद होती हैं, तो एक दुर्भावनापूर्ण संपर्क कार्ड और एक विश्वसनीय फ़िशिंग ईमेल एक ही परिणाम उत्पन्न कर सकते हैं: संवेदनशील डेटा तक अनधिकृत पहुंच।

अतिरिक्त शोध में ओपनक्लॉ के इकोसिस्टम के भीतर भी इसी तरह की भरोसे से जुड़ी समस्याएं सामने आईं। पिछले सुरक्षा निर्देशों को स्टैटिक-एनालिसिस नियमों में परिवर्तित करके, शोधकर्ताओं ने स्लैक, डिस्कोर्ड, मैट्रिक्स, ज़ालो और माइक्रोसॉफ्ट टीम्स के साथ एकीकरण को प्रभावित करने वाली पांच और कमजोरियों की पहचान की।

प्रत्येक सुरक्षा खामी एक ही डिज़ाइन दोष से उत्पन्न हुई थी। चैनल एक्सटेंशन, अनुमति सूचियों का मूल्यांकन करते समय स्थायी पहचानकर्ताओं के बजाय परिवर्तनीय प्रदर्शन नामों पर निर्भर थे। इसलिए, एक हमलावर किसी खाते का नाम बदलकर उसे स्वीकृत उपयोगकर्ता के नाम से मिला सकता था और एजेंट पर नियंत्रण प्राप्त कर सकता था। ओपनक्लॉ ने तब से सभी पहचानी गई समस्याओं को ठीक कर दिया है।

एजेंटों को दी जाने वाली व्यापक अनुमतियों को लेकर बढ़ती चिंताएँ

लॉन्च होने के बाद से ही, ओपनक्लॉ अपनी व्यापक अनुमतियों के कारण जांच के दायरे में रहा है। यह प्लेटफ़ॉर्म स्थानीय फ़ाइलों, शेल वातावरणों और बीस से अधिक मैसेजिंग प्लेटफ़ॉर्म तक पहुंच प्रदान करता है, जिससे यह अत्यधिक सक्षम होने के साथ-साथ अत्यधिक असुरक्षित भी है।

चिंताएं इतनी बढ़ गई हैं कि डच डेटा संरक्षण प्राधिकरण, ऑटोरिटेट पर्सून्सगेगेवेन्स ने संवेदनशील जानकारी वाले सिस्टम पर ओपनक्लॉ का उपयोग न करने की सलाह दी है। प्राधिकरण ने डेटा लीक और अकाउंट हैक होने जैसे जोखिमों का हवाला दिया है।

सुरक्षित एआई एजेंट परिनियोजन का निर्माण

ओपनक्लॉ का उपयोग करने वाले संगठनों को संदेश-ऑब्जेक्ट भेद्यता को दूर करने के लिए तुरंत संस्करण 2026.4.23 या बाद के संस्करण में अपग्रेड करना चाहिए। पैचिंग के अलावा, दीर्घकालिक सुरक्षा त्वरित इंजीनियरिंग के बजाय आर्किटेक्चरल नियंत्रणों पर निर्भर करती है।

सुरक्षा विशेषज्ञ एजेंट निर्देश फ़ाइलों को सलाहकारी मार्गदर्शन के बजाय लागू करने योग्य, संस्करण-नियंत्रित नीतियों के रूप में मानने की सलाह देते हैं। अपरिचित प्राप्तकर्ताओं को संदेश भेजने से पहले अनुमोदन आवश्यक होना चाहिए, जिससे समझौता किए गए एजेंटों द्वारा विश्वसनीय खातों के माध्यम से हमले फैलाने की संभावना कम हो जाती है। पहुँच अनुमतियाँ ट्रिगर करने वाले स्रोत की विश्वसनीयता से भी जुड़ी होनी चाहिए, यह सुनिश्चित करते हुए कि बाहरी संचार को संसाधित करने वाले एजेंट ग्राहक संबंध प्रबंधन प्लेटफ़ॉर्म जैसे उच्च-मूल्य वाले सिस्टम तक स्वचालित रूप से पहुँच न सकें। क्रेडेंशियल साझाकरण और वित्तीय लेनदेन सहित उच्च जोखिम वाली कार्रवाइयों को मानवीय अनुमोदन के अधीन रहना चाहिए।

स्वायत्त विश्वास की अनसुलझी चुनौती

दोनों शोध दल अंततः एक ही निष्कर्ष पर पहुँचे: एआई एजेंटों को सुरक्षा उपकरण के रूप में नहीं देखा जाना चाहिए। एक अधिक सटीक मॉडल एक ऐसे कनिष्ठ कर्मचारी का है जिसके पास सिस्टम तक व्यापक पहुँच तो है, लेकिन संदिग्ध व्यवहार को पहचानने की सीमित क्षमता है। एक अन्य उपयोगी दृष्टिकोण यह है कि उन्हें प्रमाणित निष्पादकों के रूप में देखा जाए जो स्वाभाविक रूप से प्राप्त जानकारी पर भरोसा करते हैं।

वर्तमान में किए जा रहे उपायों में पैच, सुरक्षा उपाय और एक्सेस कंट्रोल शामिल हैं। फिर भी, व्यापक चुनौती अनसुलझी बनी हुई है। ईमेल पढ़ने, कार्यों को निष्पादित करने और स्वतंत्र रूप से कार्य करने में सक्षम एक एआई एजेंट को स्वाभाविक रूप से इनपुट पर भरोसा करना चाहिए और उपयोगकर्ताओं की सहायता करने का प्रयास करना चाहिए। साइबर सुरक्षा समुदाय ने अभी तक इस मूलभूत समस्या का कोई सार्वभौमिक समाधान विकसित नहीं किया है।