Támadások az OpenClaw mesterséges intelligencia ügynökét használják ki
A legújabb biztonsági kutatások kimutatták, hogy az OpenClaw, egy széles körben használt, saját üzemeltetésű mesterséges intelligencia alapú ügynökplatform, manipulálható támadók által vezérelt műveletek végrehajtására vagy érzékeny információk nyilvánosságra hozatalára látszólag ártalmatlan bemeneteken keresztül.
Külön vizsgálatokban a kutatók két különböző támadási módszert mutattak be. Az egyik a megosztott névjegyekbe, vCard-okba és helymeghatározó PIN-kódokba ágyazott rejtett utasításokon alapult. A másik gondosan kidolgozott adathalász e-maileket használt, hogy rávegyék a mesterséges intelligencia által kezelt ügynököket érzékeny üzleti információk kiszivárogtatására.
Bár az OpenClaw a 2026.4.23-as verzióban orvosolta az egyik ilyen sebezhetőséget, a tágabb probléma változatlan maradt: a bejövő információkba megbízó MI-ügynökök hatékony eszközökké válhatnak a támadók számára.
Tartalomjegyzék
Láthatatlan parancsok, melyeket szem elől rejtenek
Az első támadás azt célozta meg, hogy az OpenClaw hogyan dolgoz fel bizonyos üzenetobjektumokat, mielőtt elküldené azokat az alapul szolgáló nagy nyelvi modellnek (LLM).
A webes tartalmakkal ellentétben, amelyeket a modellbe való belépés előtt egyértelműen megbízhatatlanként jelölnek meg, a kapcsolattartási rekordok, vCardok és helyfeliratok közvetlenül a promptokba lettek beillesztve anélkül, hogy bármilyen jelzés lett volna arra vonatkozóan, hogy nem megbízható forrásból származnak. Ez lehetőséget teremtett az azonnali befecskendezésre.
A támadás az OpenClaw által használt módszert használta ki a kapcsolattartási adatok sorosítására. A megosztott kapcsolattartási adatokat egyszerű formátumba konvertálták, amely csak nevet és telefonszámot tartalmazott. Mivel a kapcsolattartási adatokban megengedettek a szögletes zárójelek és hasonló karakterek, a támadók rosszindulatú utasításokat ágyazhattak be, amelyek a kapcsolattartási adatok részének tűntek. Ezenkívül a kapcsolattartási adatok nevei gyakran csonkolva jelennek meg az üzenetküldő alkalmazásokban, így az áldozatok nem láthatják a rejtett adatokat.
Ugyanez a technika hatékonynak bizonyult vCard teljes név mezők és megosztott helymeghatározó címkék használatával is. A Gemini 3.1 Pro előzetes verzióival végzett tesztelés során a rejtett utasítások sikeresen rávették az ügynököt, hogy letöltse és végrehajtsa a kódot egy kutatók által vezérelt szerverről. Érdekes módon az utasítások képeken belüli elrejtésére tett kísérletek kudarcot vallottak, valószínűleg azért, mert a modern MI-modellek átfogó képzést kaptak a képalapú prompt injektálási támadások ellen. Az üzenet-objektum támadások azonban kevésbé ismertek a jelenlegi modellek számára.
A kutatók figyelmeztetnek, hogy az OpenClaw alapértelmezett memória-funkcionalitása felerősítheti a fenyegetést. Egyetlen rosszindulatú kapcsolat vagy széles körben elosztott objektum potenciálisan számos ügynököt veszélyeztethet, ha hiányoznak a megfelelő sandboxing-vezérlések.
A felelős tájékoztatást követően az OpenClaw kiadta a 2026.4.23-as verziót, amely egy dedikált, nem megbízható metaadat-csatornába helyezi a névjegyek, vCard mezők és helymeghatározó címkék elkülönítését a prompt tartalmától. A kutatók azt is megjegyezték, hogy hasonló tervezési minták jelentek meg más személyi AI-asszisztenseknél is, ami inkább iparági szintű kihívásra, mint platformspecifikus problémára utal.
Az ügynökadathalászat térnyerése
Egy második kutatási projekt más szemszögből közelítette meg a problémát: a társadalmi manipuláció (social engineering) módszerével.
A kutatók készítettek egy Pinchy nevű tesztügynököt, és egy valósághű, de szintetikus üzleti kommunikációval és álérzékeny adatokkal teli Gmail-postaládához csatlakoztatták. A csapat ezután négy adathalász szimulációt hajtott végre a Google Gemini 3.1 Pro és az OpenAI Codex GPT-5.4 használatával.
A tanulmány különbséget tett a hagyományos azonnali injektálás és az úgynevezett „ügynökadathalászat” között. Míg az azonnali injektálás rosszindulatú utasításokat rejt az adatokban, az ügynökadathalászat hihető kérésekre támaszkodik, amelyeket legitim kommunikációs csatornákon keresztül küldenek. A támadás azért sikeres, mert az ügynök a feladó személyazonosságának megfelelő ellenőrzése előtt cselekszik.
Hogyan győzte le a szociális manipuláció a biztonsági ellenőrzéseket
Az adathalász szimulációk aggasztó eredményeket hoztak. Annak ellenére, hogy szigorú utasítások szerint ellenőrizte a feladó személyazonosságát, az ügynök két adatlopási forgatókönyvet is elmulasztott:
Egy kitalált éles incidens során egy csapatvezetőnek kiadott csalárd e-mail kért hozzáférést a rendszerhez. Az ügynök megtalálta és egyszerű szövegként továbbította az ál-AWS IAM hitelesítő adatokat, az adatbázis-kapcsolati karakterláncokat és az SSH hitelesítő adatokat.
Egy második e-mailben a cég heti rendszerességgel exportálta az ügyféladatokat egy állítólagos negyedéves üzleti áttekintéshez. Az ügynök egy szintetikus adatbázist továbbított, amely 247 vállalati ügyfél adatait tartalmazta, beleértve a kapcsolattartókat és a szerződések értékét.
Az ügynök jelentősen jobban teljesített a technikai támadások esetén. Felismerte a gyanús adathalász weboldalakat, elkerülte a legitim hitelesítő adatok felfedését, és végül megjelölte a rosszindulatú tevékenységeket. Szigorúbb beállítások mellett az adathalász oldalakhoz való hozzáférés teljesen blokkolva volt. Amikor egy hamis OAuth hozzájárulási képernyőt kapott, amelyet munkaidő-nyilvántartási alkalmazásnak álcáztak, az ügynök elemezte az átirányítási célt, gyanúsnak találta, és megtagadta az engedélyek megadását.
A kutatók arra a következtetésre jutottak, hogy az ügynök gyakran jobban teljesített, mint az emberek a rosszindulatú URL-ek és a hamis bejelentkezési portálok azonosításában. Ugyanakkor nehézségei voltak a kontextuális társadalmi ítélőképességgel, különösen akkor, amikor a kérések megbízható kollégáktól érkeztek. Pontosan az a tulajdonság, ami hasznossá teszi a mesterséges intelligencia által működtetett asszisztenseket, a segítőkészség vágya, jelentős támadási felületet is teremt.
Bár az OpenAI Codex GPT-5.4 nagyobb óvatosságot mutatott, mint a Gemini 3.1 Pro, amikor külső oldalakkal kommunikált vagy információkat továbbított, mindkét rendszer végül áldozatul esett a társadalmi manipulációnak.
Egy kiváltó ok, több támadási útvonal
A különböző technikák alkalmazása ellenére mindkét támadás ugyanazokat az alapvető képességeket használta ki:
- Hozzáférés a személyes adatokhoz.
- A megbízhatatlan tartalom feldolgozásának képessége.
- Engedély külső adatküldésre.
Amikor ezek a képességek megfelelő ellenőrzés nélkül léteznek együtt, egy rosszindulatú névjegykártya és egy meggyőző adathalász e-mail ugyanazt az eredményt hozhatja létre: jogosulatlan hozzáférés érzékeny adatokhoz.
További kutatások hasonló bizalmi határokkal kapcsolatos problémákat tártak fel az OpenClaw ökoszisztémáján belül. A korábbi biztonsági tanácsok statikus elemzési szabályokká alakításával a kutatók további öt sebezhetőséget azonosítottak, amelyek a Slack, Discord, Matrix, Zalo és Microsoft Teams integrációit érintik.
Minden sebezhetőség ugyanabból a tervezési hibából eredt. A csatornabővítmények a módosítható megjelenített nevekre támaszkodtak az engedélyezőlisták kiértékelésekor az állandó azonosítókra. Egy támadó így átnevezhetett egy fiókot, hogy az egyezzen egy jóváhagyott felhasználóval, és befolyást szerezhetett az ügynök felett. Az OpenClaw azóta kijavította az összes azonosított problémát.
Egyre növekvő aggodalmak a széles körű ügynöki jogosultságok körül
Indulása óta az OpenClaw széleskörű jogosultságai miatt számos vizsgálatot vonzott. A platform hozzáférést biztosít helyi fájlokhoz, shell környezetekhez és több mint húsz üzenetküldő platformhoz, így rendkívül sokoldalú, de ugyanakkor rendkívül sebezhető is.
Az aggodalmak olyan jelentősek lettek, hogy a holland adatvédelmi hatóság, az Autoriteit Persoonsgegevens azt tanácsolta magánszemélyeknek és szervezeteknek, hogy ne telepítsék az OpenClaw-ot érzékeny információkat tartalmazó rendszerekre. A hatóság a kockázatokat többek között az adatvédelmi incidensek és a fiókok feltörése miatt vonta maga után.
Biztonságosabb AI-ügynöktelepítések kiépítése
Az OpenClaw-ot használó szervezeteknek azonnal frissíteniük kell a 2026.4.23-as vagy újabb verzióra az üzenet-objektum sebezhetőség javítása érdekében. A javításokon túl azonban a hosszú távú védelem az architektúra ellenőrzésein, nem pedig a gyors mérnöki munkán múlik.
A biztonsági szakemberek azt javasolják, hogy az ügynökök utasításfájljait végrehajtható, verziókövetett szabályzatokként kezeljék a tanácsadó útmutatások helyett. A kimenő kommunikációt jóváhagyásra kell kötni, mielőtt az üzeneteket ismeretlen címzetteknek küldenék, csökkentve ezzel annak valószínűségét, hogy a feltört ügynökök támadásokat terjesszenek megbízható fiókokon keresztül. A hozzáférési engedélyeket a kiváltó forrás megbízhatóságához is kell kötni, biztosítva, hogy a külső kommunikációt feldolgozó ügynökök ne férhessenek hozzá automatikusan nagy értékű rendszerekhez, például az ügyfélkapcsolat-kezelő platformokhoz. A magas kockázatú műveleteknek, beleértve a hitelesítő adatok megosztását és a pénzügyi tranzakciókat, továbbra is emberi jóváhagyásnak kell alávetni.
Az autonóm bizalom megoldatlan kihívása
Mindkét kutatócsoport végül ugyanarra a következtetésre jutott: a mesterséges intelligencia alapú ügynököket nem szabad biztonsági eszközöknek tekinteni. Pontosabb modell egy olyan fiatalabb alkalmazotté, aki széleskörű rendszerhozzáféréssel rendelkezik, de korlátozottan képes felismerni a gyanús viselkedést. Egy másik hasznos perspektíva, ha hitelesített végrehajtókként tekintünk rájuk, akik eredendően megbíznak a kapott információkban.
A jelenlegi enyhítési intézkedések a javításokra, a védőkorlátokra és a hozzáférés-vezérlésre összpontosítanak. A tágabb kihívás azonban továbbra sem megoldott. Egy e-mailek olvasására, feladatok végrehajtására és önálló cselekvésre képes MI-ügynöknek tervezésénél fogva meg kell bíznia a bemenetekben, és meg kell próbálnia segíteni a felhasználókat. A kiberbiztonsági közösség még nem dolgozott ki univerzális megoldást erre az alapvető feszültségre.
