Serangan Mengeksploitasi Ejen AI OpenClaw
Kajian keselamatan terkini mendedahkan bahawa OpenClaw, platform ejen AI yang dihoskan sendiri yang digunakan secara meluas, boleh dimanipulasi untuk melaksanakan tindakan yang dikawal oleh penyerang atau mendedahkan maklumat sensitif melalui input yang nampaknya tidak berbahaya.
Dalam siasatan berasingan, para penyelidik menunjukkan dua kaedah serangan yang berbeza. Satu bergantung pada pembenaman arahan tersembunyi di dalam kenalan, vCard dan pin lokasi yang dikongsi. Satu lagi menggunakan e-mel pancingan data yang direka dengan teliti untuk meyakinkan ejen AI supaya membocorkan maklumat perniagaan yang sensitif.
Walaupun OpenClaw telah menangani salah satu kelemahan ini dalam versi 2026.4.23, isu yang lebih luas kekal tidak berubah: Ejen AI yang mempercayai maklumat masuk boleh menjadi alat yang ampuh untuk penyerang.
Isi kandungan
Perintah Tidak Kelihatan Tersembunyi di Pandangan Biasa
Serangan pertama menyasarkan cara OpenClaw memproses objek mesej tertentu sebelum menghantarnya ke model bahasa besar (LLM) yang mendasarinya.
Tidak seperti kandungan web, yang ditandakan dengan jelas sebagai tidak dipercayai sebelum sampai ke model, rekod kenalan, vCards dan label lokasi dimasukkan terus ke dalam gesaan tanpa sebarang petunjuk bahawa ia berasal daripada sumber yang tidak dipercayai. Ini mewujudkan peluang untuk suntikan gesaan.
Serangan itu mengeksploitasi cara OpenClaw menyiratkan maklumat hubungan secara bersiri. Kenalan yang dikongsi ditukar kepada format mudah yang hanya mengandungi nama dan nombor telefon. Oleh kerana aksara seperti kurungan sudut dibenarkan dalam nama kenalan, penyerang boleh membenamkan arahan berniat jahat yang kelihatan sebagai sebahagian daripada maklumat hubungan. Selain itu, nama kenalan sering dipendekkan dalam aplikasi pemesejan, menghalang mangsa daripada melihat muatan tersembunyi.
Teknik yang sama terbukti berkesan melalui medan nama penuh vCard dan label lokasi kongsi. Semasa pengujian dengan binaan pratonton Gemini 3.1 Pro, arahan tersembunyi berjaya memujuk ejen untuk memuat turun dan melaksanakan kod daripada pelayan yang dikawal oleh penyelidik. Menariknya, percubaan untuk menyembunyikan arahan dalam imej gagal, mungkin kerana model AI moden telah menerima latihan meluas terhadap serangan suntikan gesaan berasaskan imej. Walau bagaimanapun, serangan objek mesej masih kurang dikenali oleh model semasa.
Para penyelidik memberi amaran bahawa fungsi memori lalai OpenClaw boleh menguatkan ancaman tersebut. Satu kenalan berniat jahat atau objek kongsi yang diedarkan secara meluas berpotensi menjejaskan banyak ejen jika kawalan sandboxing yang betul tidak wujud.
Berikutan pendedahan yang bertanggungjawab, OpenClaw mengeluarkan versi 2026.4.23, yang memisahkan nama kenalan, medan vCard dan label lokasi daripada kandungan gesaan dengan meletakkannya ke dalam saluran metadata khusus yang tidak dipercayai. Penyelidik juga menyatakan bahawa corak reka bentuk yang serupa telah muncul dalam pembantu AI peribadi yang lain, menunjukkan cabaran seluruh industri dan bukannya isu khusus platform.
Kebangkitan Ejen Phishing
Projek penyelidikan kedua mendekati masalah ini dari sudut yang berbeza: kejuruteraan sosial.
Para penyelidik membina ejen ujian bernama Pinchy dan menyambungkannya ke peti masuk Gmail yang dipenuhi dengan komunikasi perniagaan yang realistik tetapi sintetik serta data sensitif palsu. Pasukan itu kemudian menjalankan empat simulasi pancingan data menggunakan Google Gemini 3.1 Pro dan OpenAI Codex GPT-5.4.
Kajian ini membezakan suntikan gesaan tradisional daripada apa yang digambarkan oleh penyelidik sebagai 'pemancingan ejen'. Walaupun suntikan gesaan menyembunyikan arahan berniat jahat di dalam data, pemancingan ejen bergantung pada permintaan yang boleh dipercayai yang dihantar melalui saluran komunikasi yang sah. Serangan itu berjaya kerana ejen bertindak sebelum mengesahkan identiti penghantar dengan secukupnya.
Bagaimana Kejuruteraan Sosial Mengalahkan Kawalan Keselamatan
Simulasi pancingan data menghasilkan keputusan yang membimbangkan. Walaupun beroperasi di bawah arahan ketat untuk mengesahkan identiti penghantar, ejen tersebut gagal dalam dua senario pengekstrakan data:
E-mel palsu yang menyamar sebagai ketua pasukan meminta akses pementasan semasa insiden pengeluaran yang direka-reka. Ejen tersebut menemui dan menghantar kelayakan AWS IAM tiruan, rentetan sambungan pangkalan data dan kelayakan SSH dalam teks biasa.
E-mel kedua meminta eksport pelanggan mingguan rutin untuk pembentangan ulasan perniagaan suku tahunan yang sepatutnya. Ejen tersebut menghantar pangkalan data sintetik yang mengandungi maklumat tentang 247 pelanggan perusahaan, termasuk kenalan dan nilai kontrak.
Ejen tersebut menunjukkan prestasi yang jauh lebih baik ketika menghadapi serangan teknikal. Ia mengenali laman web pancingan data yang mencurigakan, mengelakkan pendedahan kelayakan yang sah, dan akhirnya menandai aktiviti berniat jahat. Di bawah tetapan yang lebih ketat, akses ke halaman pancingan data disekat sepenuhnya. Apabila dibentangkan dengan skrin persetujuan OAuth palsu yang menyamar sebagai aplikasi helaian masa, ejen tersebut menganalisis destinasi pengalihan, menentukan ia mencurigakan, dan enggan memberikan kebenaran.
Para penyelidik menyimpulkan bahawa ejen tersebut sering mengatasi manusia dalam mengenal pasti URL berniat jahat dan portal log masuk palsu. Walau bagaimanapun, ia bergelut dengan pertimbangan sosial kontekstual, terutamanya apabila permintaan kelihatan datang daripada rakan sekerja yang dipercayai. Ciri yang menjadikan pembantu AI berguna, iaitu keinginan untuk membantu, juga mewujudkan permukaan serangan yang ketara.
Walaupun OpenAI Codex GPT-5.4 menunjukkan tahap berhati-hati yang lebih tinggi berbanding Gemini 3.1 Pro ketika berinteraksi dengan laman web luaran atau menghantar maklumat, kedua-dua sistem akhirnya menjadi mangsa senario kejuruteraan sosial.
Satu Punca Utama, Pelbagai Laluan Serangan
Walaupun menggunakan teknik yang berbeza, kedua-dua serangan mengeksploitasi keupayaan asas yang sama:
- Akses kepada maklumat peribadi.
- Keupayaan untuk memproses kandungan yang tidak dipercayai.
- Kebenaran untuk menghantar maklumat ke luar.
Apabila keupayaan ini wujud bersama tanpa kawalan yang mencukupi, kad hubungan berniat jahat dan e-mel pancingan data yang meyakinkan boleh menghasilkan hasil yang sama: akses tanpa kebenaran kepada data sensitif.
Kajian tambahan mendedahkan masalah sempadan kepercayaan yang serupa dalam ekosistem OpenClaw. Dengan menukar nasihat keselamatan sebelumnya kepada peraturan analisis statik, penyelidik mengenal pasti lima kelemahan selanjutnya yang mempengaruhi integrasi dengan Slack, Discord, Matrix, Zalo dan Microsoft Teams.
Setiap kelemahan berpunca daripada kecacatan reka bentuk yang sama. Sambungan saluran bergantung pada nama paparan yang boleh berubah dan bukannya pengecam kekal semasa menilai senarai dibenarkan. Oleh itu, penyerang boleh menamakan semula akaun agar sepadan dengan pengguna yang diluluskan dan mendapat pengaruh ke atas ejen tersebut. OpenClaw sejak itu telah menampal semua isu yang dikenal pasti.
Kebimbangan yang Semakin Meningkat Mengenai Kebenaran Ejen yang Luas
Sejak pelancarannya, OpenClaw telah menarik perhatian kerana kebenarannya yang luas. Platform ini menyediakan akses kepada fail setempat, persekitaran shell dan lebih daripada dua puluh platform pesanan, menjadikannya sangat berkemampuan tetapi juga sangat terdedah.
Kebimbangan telah menjadi cukup ketara sehingga pihak berkuasa perlindungan data Belanda, Autoriteit Persoonsgegevens, menasihati individu dan organisasi agar tidak menggunakan OpenClaw pada sistem yang mengandungi maklumat sensitif. Pihak berkuasa tersebut memetik risiko termasuk pelanggaran data dan pencerobohan akaun.
Pelaksanaan Ejen AI yang Lebih Selamat Membina
Organisasi yang menggunakan OpenClaw harus segera menaik taraf kepada versi 2026.4.23 atau yang lebih baharu untuk menangani kelemahan objek mesej. Walau bagaimanapun, selain penampalan, perlindungan jangka panjang bergantung pada kawalan seni bina dan bukannya kejuruteraan segera.
Pakar keselamatan mengesyorkan agar fail arahan ejen dianggap sebagai dasar yang boleh dikuatkuasakan dan dikawal versi dan bukannya panduan nasihat. Komunikasi keluar harus memerlukan kelulusan sebelum mesej dihantar kepada penerima yang tidak dikenali, sekali gus mengurangkan kemungkinan ejen yang terjejas menyebarkan serangan melalui akaun yang dipercayai. Kebenaran akses juga harus dikaitkan dengan kepercayaan sumber pencetus, memastikan ejen yang memproses komunikasi luaran tidak dapat mengakses sistem bernilai tinggi secara automatik seperti platform pengurusan perhubungan pelanggan. Tindakan berisiko tinggi, termasuk perkongsian kelayakan dan transaksi kewangan, harus kekal tertakluk kepada kelulusan manusia.
Cabaran Amanah Autonomi yang Tidak Selesai
Kedua-dua pasukan penyelidikan akhirnya mencapai kesimpulan yang sama: ejen AI tidak boleh dilihat sebagai alat keselamatan. Model yang lebih tepat ialah model pekerja junior dengan akses sistem yang luas tetapi keupayaan terhad untuk mengenali tingkah laku yang mencurigakan. Perspektif lain yang berguna adalah untuk melihat mereka sebagai pelaksana yang disahkan yang secara semula jadi mempercayai maklumat yang mereka terima.
Mitigasi semasa tertumpu pada tampalan, penghadang dan kawalan akses. Namun, cabaran yang lebih luas masih belum dapat diselesaikan. Ejen AI yang mampu membaca e-mel, melaksanakan tugas dan bertindak secara bebas mesti, melalui reka bentuk, mempercayai input dan cuba membantu pengguna. Komuniti keselamatan siber masih belum membangunkan penyelesaian universal untuk ketegangan asas itu.
