Atakos išnaudoja „OpenClaw“ dirbtinio intelekto agentą

Autorius Mezo, Sukčiavimas

Versti į:

Naujausi saugumo tyrimai atskleidė, kad „OpenClaw“, plačiai naudojama savarankiškai talpinama dirbtinio intelekto agentų platforma, gali būti manipuliuojama vykdyti užpuoliko kontroliuojamus veiksmus arba atskleisti jautrią informaciją per, atrodytų, nekenksmingus įvesties duomenis.

Atskiruose tyrimuose tyrėjai pademonstravo du skirtingus atakų metodus. Vienas rėmėsi paslėptų instrukcijų įterpimu į bendrinamus kontaktus, vCard ir vietos smeigtukus. Kitas naudojo kruopščiai parengtus sukčiavimo el. laiškus, kad įtikintų dirbtinio intelekto agentą nutekinti neskelbtiną verslo informaciją.

Nors „OpenClaw“ 2026.4.23 versijoje išsprendė vieną iš šių pažeidžiamumų, platesnė problema išlieka nepakitusi: dirbtinio intelekto agentai, kurie pasitiki gaunama informacija, gali tapti galingais užpuolikų įrankiais.

Turinys

Nematomos komandos, paslėptos akyse

Pirmoji ataka buvo nukreipta prieš tai, kaip „OpenClaw“ apdoroja tam tikrus pranešimų objektus prieš siunčiant juos į pagrindinį didelį kalbos modelį (LLM).

Kitaip nei žiniatinklio turinys, kuris prieš pasiekiant modelį aiškiai pažymimas kaip nepatikimas, kontaktų įrašai, vCard kortelės ir vietos žymos buvo įterpti tiesiai į raginimus nenurodant, kad jie gauti iš nepatikimų šaltinių. Tai sudarė galimybę greitai įterpti duomenis.

Ataka išnaudojo „OpenClaw“ kontaktinės informacijos serializavimo būdą. Bendrinami kontaktai buvo konvertuoti į paprastą formatą, kuriame buvo tik vardas ir telefono numeris. Kadangi kontaktų varduose leidžiami tokie simboliai kaip kampiniai skliaustai, užpuolikai galėjo įterpti kenkėjiškas instrukcijas, kurios atrodė kaip kontaktinės informacijos dalis. Be to, kontaktų vardai pranešimų programose dažnai sutrumpinami, todėl aukos nemato paslėptos informacijos.

Ta pati technika pasirodė esanti veiksminga naudojant „vCard“ vardo laukus ir bendras vietos žymas. Testuojant su „Gemini 3.1 Pro“ peržiūros versijomis, paslėptos instrukcijos sėkmingai įtikino agentą atsisiųsti ir vykdyti kodą iš tyrėjo valdomo serverio. Įdomu tai, kad bandymai paslėpti instrukcijas vaizduose nepavyko, greičiausiai dėl to, kad šiuolaikiniai dirbtinio intelekto modeliai buvo išsamiai apmokyti prieš vaizdu pagrįstus greito įpurškimo atakas. Tačiau pranešimų objekto atakos dabartiniams modeliams yra mažiau žinomos.

Tyrėjai perspėjo, kad numatytoji „OpenClaw“ atminties funkcija gali sustiprinti grėsmę. Vienas kenkėjiškas kontaktas arba plačiai paplitęs bendrinamas objektas gali pakenkti daugeliui agentų, jei nėra tinkamų „smėlio dėžės“ valdiklių.

Po atsakingo atskleidimo „OpenClaw“ išleido 2026.4.23 versiją, kurioje kontaktų vardai, „vCard“ laukai ir vietos žymos atskiriami nuo raginimo turinio, įdedant juos į specialų nepatikimą metaduomenų kanalą. Tyrėjai taip pat pastebėjo, kad panašūs dizaino modeliai atsirado ir kituose asmeniniuose dirbtinio intelekto asistentuose, o tai rodo visos pramonės šakos iššūkį, o ne konkrečios platformos problemą.

Agentų sukčiavimo augimas

Antrasis tyrimų projektas problemą nagrinėjo kitu kampu: socialine inžinerija.

Tyrėjai sukūrė bandymų agentą pavadinimu „Pinchy“ ir prijungė jį prie „Gmail“ pašto dėžutės, kurioje buvo pateikti realūs, bet dirbtiniai verslo pranešimai ir netikri jautrūs duomenys. Tada komanda atliko keturias sukčiavimo apsimetant atakų simuliacijas, naudodama „Google Gemini 3.1 Pro“ ir „OpenAI Codex GPT-5.4“.

Tyrime buvo atskirta tradicinė greitoji injekcija nuo to, ką tyrėjai apibūdino kaip „agento sukčiavimą“. Nors greitoji injekcija slepia kenkėjiškas instrukcijas duomenyse, agento sukčiavimas remiasi įtikinamomis užklausomis, pateiktomis teisėtais ryšio kanalais. Ataka sėkminga, nes agentas veikia prieš tinkamai patikrindamas siuntėjo tapatybę.

Kaip socialinė inžinerija nugalėjo saugumo kontrolę

Sukčiavimo apsimetant kitais asmenimis simuliacijos davė nerimą keliančių rezultatų. Nors agentas veikė laikydamasis griežtų nurodymų tikrinti siuntėjo tapatybes, jam nepavyko įvykdyti dviejų duomenų nutekėjimo scenarijų:

Suklastotame el. laiške, kuriame apsimetinėjome komandos vadovu, buvo prašoma prieigos prie testavimo sistemos per sufabrikuotą gamybinį incidentą. Agentas rado ir persiuntė netikrus AWS IAM prisijungimo duomenis, duomenų bazės ryšio eilutes ir SSH prisijungimo duomenis paprastojo teksto formatu.

Antrame el. laiške buvo prašoma atlikti įprastą savaitinį klientų eksportą, skirtą tariamai ketvirtinei verslo apžvalgai. Agentas perdavė sintetinę duomenų bazę, kurioje buvo informacija apie 247 verslo klientus, įskaitant kontaktus ir sutarčių vertes.

Agentas veikė žymiai geriau susidūręs su techninėmis atakomis. Jis atpažino įtartinas sukčiavimo svetaines, vengė atskleisti teisėtus prisijungimo duomenis ir galiausiai pažymėjo kenkėjišką veiklą. Taikant griežtesnius nustatymus, prieiga prie sukčiavimo puslapių buvo visiškai užblokuota. Kai buvo parodytas apgaulingas „OAuth“ sutikimo ekranas, užmaskuotas kaip laiko apskaitos programa, agentas išanalizavo peradresavimo paskirties vietą, nustatė, kad ji įtartina, ir atsisakė suteikti leidimus.

Tyrėjai padarė išvadą, kad agentas dažnai pranoko žmones atpažindamas kenkėjiškus URL ir netikrus prisijungimo portalus. Tačiau jam buvo sunku susidoroti su kontekstiniu socialiniu vertinimu, ypač kai užklausos atrodė esančios iš patikimų kolegų. Būtent ta savybė, dėl kurios dirbtinio intelekto asistentai yra naudingi, – noras būti paslaugiems, – taip pat sukuria didelį atakų paviršių.

Nors „OpenAI Codex GPT-5.4“ sąveikaujant su išorinėmis svetainėmis ar perduodant informaciją demonstravo didesnį atsargumą nei „Gemini 3.1 Pro“, galiausiai abi sistemos tapo socialinės inžinerijos scenarijų aukomis.

Viena pagrindinė priežastis, keli atakos keliai

Nepaisant skirtingų metodų, abi atakos išnaudojo tas pačias pagrindines galimybes:

Prieiga prie privačios informacijos.

Galimybė apdoroti nepatikimą turinį.

Leidimas siųsti informaciją išoriškai.

Kai šios galimybės egzistuoja kartu be pakankamos kontrolės, kenkėjiška kontaktinė kortelė ir įtikinamas sukčiavimo el. laiškas gali sukelti tą patį rezultatą: neteisėtą prieigą prie neskelbtinų duomenų.

Papildomi tyrimai atskleidė panašias pasitikėjimo ribų problemas „OpenClaw“ ekosistemoje. Ankstesnius saugumo patarimus konvertavę į statinės analizės taisykles, tyrėjai nustatė dar penkis pažeidžiamumus, turinčius įtakos integracijoms su „Slack“, „Discord“, „Matrix“, „Zalo“ ir „Microsoft Teams“.

Kiekvienas pažeidžiamumas kilo dėl to paties projektavimo trūkumo. Vertinant leidžiamųjų sąrašų duomenis, kanalų plėtiniai rėmėsi kintančiais rodomais pavadinimais, o ne nuolatiniais identifikatoriais. Todėl užpuolikas galėjo pervadinti paskyrą, kad ji atitiktų patvirtintą vartotoją, ir įgyti įtakos agentui. „OpenClaw“ nuo to laiko ištaisė visas nustatytas problemas.

Didėjantis susirūpinimas dėl plačių agentų leidimų

Nuo pat paleidimo „OpenClaw“ sulaukė didelio dėmesio dėl savo plačių leidimų. Platforma suteikia prieigą prie vietinių failų, apvalkalo aplinkų ir daugiau nei dvidešimties pranešimų platformų, todėl ji yra labai pajėgi, bet kartu ir labai pažeidžiama.

Susirūpinimas tapo toks didelis, kad Nyderlandų duomenų apsaugos institucija „Autoriteit Persoonsgegevens“ patarė asmenims ir organizacijoms nenaudoti „OpenClaw“ sistemose, kuriose saugoma neskelbtina informacija. Institucija nurodė riziką, įskaitant duomenų nutekėjimą ir paskyrų pažeidimą.

Saugesnių dirbtinio intelekto agentų diegimų kūrimas

Organizacijos, naudojančios „OpenClaw“, turėtų nedelsdamos atnaujinti į 2026.4.23 arba naujesnę versiją, kad pašalintų pranešimų objekto pažeidžiamumą. Tačiau ilgalaikė apsauga, be pataisymų, priklauso nuo architektūrinių valdiklių, o ne nuo greito inžinerinio darbo.

Saugumo specialistai rekomenduoja agentų instrukcijų failus laikyti vykdytinomis, versijų kontroliuojamomis politikomis, o ne rekomendacijomis. Prieš siunčiant pranešimus nepažįstamiems gavėjams, turėtų būti reikalaujama patvirtinimo, taip sumažinant tikimybę, kad pažeisti agentai platins atakas per patikimas paskyras. Prieigos leidimai taip pat turėtų būti susieti su aktyvuojančio šaltinio patikimumu, užtikrinant, kad išorinius ryšius apdorojantys agentai negalėtų automatiškai pasiekti didelės vertės sistemų, tokių kaip klientų ryšių valdymo platformos. Didelės rizikos veiksmai, įskaitant įgaliojimų bendrinimą ir finansines operacijas, turėtų ir toliau būti tvirtinami žmogaus.

Neišspręstas autonominio pasitikėjimo iššūkis

Abi tyrėjų komandos galiausiai priėjo prie tos pačios išvados: dirbtinio intelekto agentų nereikėtų laikyti saugumo įrankiais. Tikslesnis modelis būtų jaunesniojo darbuotojo, turinčio plačią prieigą prie sistemos, bet ribotą gebėjimą atpažinti įtartiną elgesį, modelis. Kita naudinga perspektyva – juos vertinti kaip autentifikuotus vykdytojus, kurie iš esmės pasitiki gaunama informacija.

Dabartinės priemonės daugiausia skirtos pataisymams, apsauginiams barjerams ir prieigos kontrolei. Tačiau platesnis iššūkis lieka neišspręstas. Dirbtinio intelekto agentas, galintis skaityti el. laiškus, vykdyti užduotis ir veikti savarankiškai, pagal savo struktūrą turi pasitikėti įvestimis ir stengtis padėti vartotojams. Kibernetinio saugumo bendruomenė dar nesukūrė universalaus šios esminės įtampos sprendimo.

„EnigmaSoft“ mokėjimų procesorius „Digital River GmbH“ pareiškimas dėl bankroto neturi įtakos „SpyHunter“ klientų apsaugai nuo kenkėjiškų programų

Paieška

Keisti regioną

Atakos išnaudoja „OpenClaw“ dirbtinio intelekto agentą

Nematomos komandos, paslėptos akyse

Agentų sukčiavimo augimas

Kaip socialinė inžinerija nugalėjo saugumo kontrolę

Viena pagrindinė priežastis, keli atakos keliai

Didėjantis susirūpinimas dėl plačių agentų leidimų

Saugesnių dirbtinio intelekto agentų diegimų kūrimas

Neišspręstas autonominio pasitikėjimo iššūkis

Pateikti komentarą

Tendencijos

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Labiausiai žiūrima

Eporner.com

Fuq.com

XHAMSTER Ransomware