Vairāku licenču atlaides piedāvājums
Draudu datu bāze Pikšķerēšana Uzbrukumi izmanto OpenClaw mākslīgā intelekta aģentu

Uzbrukumi izmanto OpenClaw mākslīgā intelekta aģentu

Līdz Mezo. gadam Pikšķerēšana. gadā
Tulkot uz:

Jaunākie drošības pētījumi ir atklājuši, ka OpenClaw, plaši izmantotu pašhostētu mākslīgā intelekta aģentu platformu, var manipulēt, lai tā veiktu uzbrucēju kontrolētas darbības vai atklātu sensitīvu informāciju, izmantojot šķietami nekaitīgus ievades datus.

Atsevišķās izmeklēšanās pētnieki demonstrēja divas atšķirīgas uzbrukuma metodes. Viena balstījās uz slēptu instrukciju iegulšanu koplietotajās kontaktpersonās, vCard kartēs un atrašanās vietas piespraudēs. Otra izmantoja rūpīgi izstrādātus pikšķerēšanas e-pastus, lai pārliecinātu mākslīgā intelekta aģentu nopludināt sensitīvu biznesa informāciju.

Lai gan OpenClaw 2026.4.23 versijā ir novērsis vienu no šīm ievainojamībām, plašākā problēma paliek nemainīga: mākslīgā intelekta aģenti, kas uzticas ienākošajai informācijai, var kļūt par spēcīgiem uzbrucēju rīkiem.

Neredzamas komandas, kas paslēptas redzamā vietā

Pirmais uzbrukums bija vērsts pret to, kā OpenClaw apstrādā noteiktus ziņojumu objektus pirms to nosūtīšanas uz pamatā esošo lielo valodas modeli (LLM).

Atšķirībā no tīmekļa satura, kas pirms nonākšanas modelī ir skaidri atzīmēts kā neuzticams, kontaktpersonu ieraksti, vCard kartes un atrašanās vietas etiķetes tika ievietotas tieši uzvednēs bez jebkādas norādes, ka tie ir iegūti no neuzticamiem avotiem. Tas radīja iespēju tūlītējai injekcijai.

Uzbrukumā tika izmantots veids, kā OpenClaw serializēja kontaktinformāciju. Koplietotie kontakti tika pārveidoti vienkāršā formātā, kas saturēja tikai vārdu un tālruņa numuru. Tā kā kontaktpersonu nosaukumos ir atļautas tādas rakstzīmes kā leņķiskās iekavas, uzbrucēji varēja iestrādāt ļaunprātīgas instrukcijas, kas šķita kā daļa no kontaktinformācijas. Turklāt ziņojumapmaiņas lietotnēs kontaktpersonu vārdi bieži tiek saīsināti, neļaujot upuriem redzēt slēpto vērtumu.

Tā pati metode izrādījās efektīva, izmantojot vCard pilna vārda laukus un koplietotas atrašanās vietas etiķetes. Testēšanas laikā ar Gemini 3.1 Pro priekšskatījuma versijām slēptās instrukcijas veiksmīgi pārliecināja aģentu lejupielādēt un izpildīt kodu no pētnieka kontrolēta servera. Interesanti, ka mēģinājumi paslēpt instrukcijas attēlos neizdevās, iespējams, tāpēc, ka mūsdienu mākslīgā intelekta modeļi ir plaši apmācīti pret uz attēliem balstītiem tūlītējas injekcijas uzbrukumiem. Tomēr ziņojumu objektu uzbrukumi pašreizējiem modeļiem joprojām ir mazāk pazīstami.

Pētnieki brīdināja, ka OpenClaw noklusējuma atmiņas funkcionalitāte varētu pastiprināt apdraudējumu. Viens ļaunprātīgs kontakts vai plaši izplatīts koplietots objekts varētu potenciāli apdraudēt daudzus aģentus, ja nav atbilstošu smilškastes kontroles sistēmu.

Pēc atbildīgas informācijas atklāšanas OpenClaw izlaida versiju 2026.4.23, kas atdala kontaktpersonu vārdus, vCard laukus un atrašanās vietas etiķetes no uzvednes satura, ievietojot tos īpašā neuzticamā metadatu kanālā. Pētnieki arī atzīmēja, ka līdzīgi dizaina modeļi ir parādījušies arī citos personālajos mākslīgā intelekta asistentos, kas norāda uz nozares mēroga problēmu, nevis uz platformas specifisku problēmu.

Aģentu pikšķerēšanas pieaugums

Otrais pētniecības projekts pie šīs problēmas risināšanas pievērsās no cita skatupunkta: sociālā inženierija.

Pētnieki izveidoja testa aģentu ar nosaukumu Pinchy un savienoja to ar Gmail iesūtni, kas bija aizpildīta ar reālistisku, bet sintētisku biznesa saziņu un viltotiem sensitīviem datiem. Pēc tam komanda veica četras pikšķerēšanas simulācijas, izmantojot gan Google Gemini 3.1 Pro, gan OpenAI Codex GPT-5.4.

Pētījumā tika nošķirta tradicionālā tūlītējā injekcija no tā, ko pētnieki raksturoja kā "aģenta pikšķerēšanu". Lai gan tūlītēja injekcija slēpj ļaunprātīgas instrukcijas datos, aģenta pikšķerēšana balstās uz ticamiem pieprasījumiem, kas tiek piegādāti, izmantojot likumīgus saziņas kanālus. Uzbrukums ir veiksmīgs, jo aģents rīkojas, pirms pienācīgi pārbauda sūtītāja identitāti.

Kā sociālā inženierija uzvarēja drošības kontroles

Pikšķerēšanas simulācijas radīja satraucošus rezultātus. Neskatoties uz to, ka aģents darbojās saskaņā ar stingriem norādījumiem sūtītāja identitātes pārbaudei, viņš neizturēja divus datu eksfiltrācijas scenārijus:

Krāpnieciska e-pasta ziņojuma, kas uzdevās par komandas vadītāju, pieprasīja piekļuvi izstrādes procesam safabricēta ražošanas incidenta laikā. Aģents vienkāršā tekstā atrada un pārsūtīja viltotus AWS IAM akreditācijas datus, datubāzes savienojuma virknes un SSH akreditācijas datus.

Otrajā e-pastā tika pieprasīta regulāra iknedēļas klientu datu eksportēšana paredzētai ceturkšņa biznesa pārskata prezentācijai. Aģents nosūtīja sintētisku datubāzi, kurā bija informācija par 247 uzņēmuma klientiem, tostarp kontaktpersonas un līgumu vērtības.

Aģents darbojās ievērojami labāk, saskaroties ar tehniskiem uzbrukumiem. Tas atpazina aizdomīgas pikšķerēšanas vietnes, izvairījās no likumīgu akreditācijas datu izpaušanas un galu galā atzīmēja ļaunprātīgu darbību. Stingrākos iestatījumos piekļuve pikšķerēšanas lapām tika pilnībā bloķēta. Kad tika parādīts krāpniecisks OAuth piekrišanas ekrāns, kas bija maskēts kā darba laika uzskaites lietojumprogramma, aģents analizēja pāradresācijas galamērķi, konstatēja, ka tas ir aizdomīgs, un atteicās piešķirt atļaujas.

Pētnieki secināja, ka aģents bieži pārspēja cilvēkus ļaunprātīgu URL un viltotu pieteikšanās portālu identificēšanā. Tomēr tam bija grūtības ar kontekstuālu sociālo spriedumu, īpaši, ja pieprasījumi šķita nākam no uzticamiem kolēģiem. Tieši tā īpašība, kas padara mākslīgā intelekta asistentus noderīgus, proti, vēlme būt izpalīdzīgiem, rada arī ievērojamu uzbrukuma virsmu.

Lai gan OpenAI Codex GPT-5.4, mijiedarbojoties ar ārējām vietnēm vai pārsūtot informāciju, demonstrēja lielāku piesardzību nekā Gemini 3.1 Pro, abas sistēmas galu galā kļuva par sociālās inženierijas scenāriju upuriem.

Viens pamatcēlonis, vairāki uzbrukuma ceļi

Neskatoties uz dažādu metožu izmantošanu, abi uzbrukumi izmantoja vienas un tās pašas pamatiespējas:

  • Piekļuve privātai informācijai.
  • Spēja apstrādāt neuzticamu saturu.
  • Atļauja sūtīt informāciju ārēji.

Ja šīs iespējas pastāv līdzās bez pietiekamas kontroles, ļaunprātīga kontaktpersonas kartīte un pārliecinošs pikšķerēšanas e-pasts var radīt vienu un to pašu rezultātu: nesankcionētu piekļuvi sensitīviem datiem.

Papildu pētījumi atklāja līdzīgas uzticamības robežu problēmas OpenClaw ekosistēmā. Pārveidojot iepriekšējos drošības ieteikumus statiskās analīzes noteikumos, pētnieki identificēja vēl piecas ievainojamības, kas ietekmē integrācijas ar Slack, Discord, Matrix, Zalo un Microsoft Teams.

Katra ievainojamība radās no viena un tā paša dizaina trūkuma. Kanālu paplašinājumi, novērtējot atļauto sarakstus, balstījās uz maināmiem parādāmajiem nosaukumiem, nevis pastāvīgiem identifikatoriem. Tādējādi uzbrucējs varēja pārdēvēt kontu, lai tas atbilstu apstiprinātam lietotājam, un iegūt ietekmi pār aģentu. OpenClaw kopš tā laika ir novērsis visas identificētās problēmas.

Pieaugošas bažas par plašajām aģentu atļaujām

Kopš tās palaišanas OpenClaw ir piesaistījusi uzmanību plašo atļauju dēļ. Platforma nodrošina piekļuvi lokālajiem failiem, čaulas vidēm un vairāk nekā divdesmit ziņojumapmaiņas platformām, padarot to ļoti spējīgu, bet arī ļoti neaizsargātu.

Bažas ir kļuvušas tik nopietnas, ka Nīderlandes datu aizsardzības iestāde Autoriteit Persoonsgegevens ieteica privātpersonām un organizācijām neieviest OpenClaw sistēmās, kas satur sensitīvu informāciju. Iestāde minēja tādus riskus kā datu noplūdes un kontu kompromitēšana.

Drošāku mākslīgā intelekta aģentu izvietojumu veidošana

Organizācijām, kas izmanto OpenClaw, nekavējoties jāveic jaunināšana uz versiju 2026.4.23 vai jaunāku, lai novērstu ziņojuma objekta ievainojamību. Tomēr, izņemot ielāpu instalēšanu, ilgtermiņa aizsardzība ir atkarīga no arhitektūras kontroles, nevis tūlītējas inženierijas.

Drošības speciālisti iesaka aģentu instrukciju failus uzskatīt par izpildāmām, versiju kontrolētām politikām, nevis konsultatīvām vadlīnijām. Izejošajai saziņai jābūt apstiprinātai, pirms ziņojumi tiek nosūtīti nepazīstamiem adresātiem, tādējādi samazinot iespējamību, ka apdraudēti aģenti izplatīs uzbrukumus, izmantojot uzticamus kontus. Piekļuves atļaujām jābūt saistītām arī ar aktivizējošā avota uzticamību, nodrošinot, ka aģenti, kas apstrādā ārējo saziņu, nevar automātiski piekļūt augstas vērtības sistēmām, piemēram, klientu attiecību pārvaldības platformām. Augsta riska darbībām, tostarp akreditācijas datu koplietošanai un finanšu darījumiem, joprojām jābūt pakļautām cilvēka apstiprinājumam.

Neatrisinātais autonomās uzticēšanās izaicinājums

Abas pētnieku komandas galu galā nonāca pie viena un tā paša secinājuma: mākslīgā intelekta aģenti nav jāuzskata par drošības rīkiem. Precīzāks modelis ir jaunākais darbinieks ar plašu piekļuvi sistēmai, bet ierobežotām spējām atpazīt aizdomīgu uzvedību. Vēl viena noderīga perspektīva ir uzskatīt tos par autentificētiem izpildītājiem, kas pēc būtības uzticas saņemtajai informācijai.

Pašreizējie mazināšanas pasākumi koncentrējas uz ielāpiem, drošības barjerām un piekļuves kontroli. Tomēr plašākā problēma joprojām nav atrisināta. Mākslīgā intelekta aģentam, kas spēj lasīt e-pastus, veikt uzdevumus un rīkoties patstāvīgi, pēc būtības ir jāuzticas ievades datiem un jācenšas palīdzēt lietotājiem. Kiberdrošības kopiena vēl nav izstrādājusi universālu risinājumu šai fundamentālajai spriedzei.

Tendences

Visvairāk skatīts

Notiek ielāde...