Angrep som utnytter OpenClaw AI-agent

Med Mezo i Phishing

Oversett til:

Nyere sikkerhetsforskning har avslørt at OpenClaw, en mye brukt selvhostet AI-agentplattform, kan manipuleres til å utføre angriperkontrollerte handlinger eller avsløre sensitiv informasjon gjennom tilsynelatende harmløse inndata.

I separate undersøkelser demonstrerte forskere to forskjellige angrepsmetoder. Den ene baserte seg på å legge inn skjulte instruksjoner i delte kontakter, vCards og posisjons-PIN-er. Den andre brukte nøye utformede phishing-e-poster for å overbevise en AI-agent om å lekke sensitiv forretningsinformasjon.

Selv om OpenClaw har adressert en av disse sårbarhetene i versjon 2026.4.23, forblir det bredere problemet uendret: AI-agenter som stoler på innkommende informasjon kan bli kraftige verktøy for angripere.

Innholdsfortegnelse

Usynlige kommandoer skjult i vanlig synsfelt

Det første angrepet var rettet mot hvordan OpenClaw behandler visse meldingsobjekter før de sendes til den underliggende store språkmodellen (LLM).

I motsetning til nettinnhold, som tydelig merkes som ikke-klarert før det når modellen, ble kontaktoppføringer, vCard-kort og stedsetiketter satt inn direkte i ledetekster uten noen indikasjon på at de kom fra ikke-klarerte kilder. Dette skapte en mulighet for rask injeksjon.

Angrepet utnyttet måten OpenClaw serialiserte kontaktinformasjon på. Delte kontakter ble konvertert til et enkelt format som bare inneholdt et navn og telefonnummer. Fordi tegn som vinkelparenteser er tillatt i kontaktnavn, kunne angripere legge inn ondsinnede instruksjoner som så ut til å være en del av kontaktinformasjonen. I tillegg blir kontaktnavn ofte avkortet i meldingsapplikasjoner, noe som forhindrer ofrene i å se den skjulte nyttelasten.

Den samme teknikken viste seg effektiv gjennom vCard-felt med fullt navn og delte lokasjonsetiketter. Under testing med forhåndsvisningsversjoner av Gemini 3.1 Pro klarte skjulte instruksjoner å overtale agenten til å laste ned og kjøre kode fra en forskerkontrollert server. Interessant nok mislyktes forsøk på å skjule instruksjoner i bilder, sannsynligvis fordi moderne AI-modeller har fått omfattende opplæring mot bildebaserte prompt injection-angrep. Meldingsobjektangrep er imidlertid fortsatt mindre kjent for nåværende modeller.

Forskere advarte om at OpenClaws standard minnefunksjonalitet kunne forsterke trusselen. En enkelt ondsinnet kontakt eller delt objekt distribuert vidt kan potensielt kompromittere en rekke agenter hvis riktige sandkassekontroller ikke er tilgjengelige.

Etter ansvarlig avsløring ga OpenClaw ut versjon 2026.4.23, som skiller kontaktnavn, vCard-felt og stedsetiketter fra innhold i ledeteksten ved å plassere dem i en dedikert, upålitelig metadatakanal. Forskere bemerket også at lignende designmønstre har dukket opp i andre personlige AI-assistenter, noe som indikerer en bransjeomfattende utfordring snarere enn et plattformspesifikt problem.

Fremveksten av agentphishing

Et annet forskningsprosjekt nærmet seg problemet fra en annen vinkel: sosial manipulering.

Forskerne bygde en testagent kalt Pinchy og koblet den til en Gmail-innboks fylt med realistisk, men syntetisk forretningskommunikasjon og simulert sensitiv data. Teamet utførte deretter fire phishing-simuleringer ved hjelp av både Google Gemini 3.1 Pro og OpenAI Codex GPT-5.4.

Studien skilte mellom tradisjonell umiddelbar injeksjon og det forskere beskrev som «agentphishing». Mens umiddelbar injeksjon skjuler ondsinnede instruksjoner inne i data, er agentphishing avhengig av troverdige forespørsler levert gjennom legitime kommunikasjonskanaler. Angrepet lykkes fordi agenten handler før avsenderens identitet er tilstrekkelig bekreftet.

Hvordan sosial manipulering beseiret sikkerhetskontroller

Phishing-simuleringene ga bekymringsverdige resultater. Til tross for at agenten opererte under strenge instruksjoner for å bekrefte avsenderidentiteter, mislyktes de i to scenarier for datautrensing:

En falsk e-post som utga seg for å være en teamleder ba om tilgang til oppsett under en fabrikkert produksjonshendelse. Agenten fant og videresendte falske AWS IAM-legitimasjon, databasetilkoblingsstrenger og SSH-legitimasjon i ren tekst.

En annen e-post ba om en rutinemessig ukentlig kundeeksport for en angivelig kvartalsvis forretningsgjennomgang. Agenten overførte en syntetisk database som inneholdt informasjon om 247 bedriftskunder, inkludert kontakter og kontraktsverdier.

Agenten presterte betydelig bedre når den møtte tekniske angrep. Den gjenkjente mistenkelige phishing-nettsteder, unngikk å eksponere legitim legitimasjon og flagget til slutt ondsinnet aktivitet. Under strengere innstillinger ble tilgang til phishing-sider blokkert fullstendig. Da agenten ble presentert for et falskt OAuth-samtykkeskjermbilde forkledd som et timeregistreringsprogram, analyserte den omdirigeringsdestinasjonen, bestemte at den var mistenkelig og nektet å gi tillatelser.

Forskerne konkluderte med at agenten ofte presterte bedre enn mennesker når det gjaldt å identifisere ondsinnede URL-er og falske innloggingsportaler. Den slet imidlertid med kontekstuell sosial vurdering, spesielt når forespørsler så ut til å komme fra betrodde kolleger. Selve egenskapen som gjør AI-assistenter nyttige, ønsket om å være hjelpsomme, skaper også en betydelig angrepsflate.

Selv om OpenAI Codex GPT-5.4 viste større forsiktighet enn Gemini 3.1 Pro ved samhandling med eksterne nettsteder eller overføring av informasjon, ble begge systemene til slutt ofre for sosial manipulering.

Én rotårsak, flere angrepsveier

Til tross for at de brukte forskjellige teknikker, utnyttet begge angrepene de samme grunnleggende funksjonene:

Tilgang til privat informasjon.

Evnen til å behandle upålitelig innhold.

Tillatelse til å sende informasjon eksternt.

Når disse funksjonene eksisterer samtidig uten tilstrekkelig kontroll, kan et ondsinnet kontaktkort og en overbevisende phishing-e-post gi samme resultat: uautorisert tilgang til sensitive data.

Ytterligere forskning avdekket lignende problemer med tillitsgrenser i OpenClaws økosystem. Ved å konvertere tidligere sikkerhetsråd til regler for statisk analyse identifiserte forskere fem ytterligere sårbarheter som påvirker integrasjoner med Slack, Discord, Matrix, Zalo og Microsoft Teams.

Hver sårbarhet stammet fra den samme designfeilen. Kanalutvidelser var avhengige av endrede visningsnavn i stedet for permanente identifikatorer når de evaluerte tillatelseslister. En angriper kunne derfor gi en konto nytt navn for å matche en godkjent bruker og få innflytelse over agenten. OpenClaw har siden rettet alle identifiserte problemer.

Økende bekymringer rundt brede agenttillatelser

Siden lanseringen har OpenClaw fått oppmerksomhet på grunn av sine omfattende tilgangsrettigheter. Plattformen gir tilgang til lokale filer, skallmiljøer og mer enn tjue meldingsplattformer, noe som gjør den svært kapabel, men også svært eksponert.

Bekymringene har blitt så store at den nederlandske datatilsynsmyndigheten, Autoriteit Persoonsgegevens, frarådet enkeltpersoner og organisasjoner å bruke OpenClaw på systemer som inneholder sensitiv informasjon. Myndigheten nevnte risikoer som datainnbrudd og kompromittering av kontoer.

Bygge tryggere implementeringer av AI-agenter

Organisasjoner som bruker OpenClaw bør umiddelbart oppgradere til versjon 2026.4.23 eller nyere for å håndtere sårbarheten i meldingsobjektet. Utover oppdateringer avhenger imidlertid langsiktig beskyttelse av arkitektoniske kontroller snarere enn rask konstruksjon.

Sikkerhetsspesialister anbefaler å behandle agentinstruksjonsfiler som håndhevbare, versjonskontrollerte retningslinjer i stedet for rådgivende veiledning. Utgående kommunikasjon bør kreve godkjenning før meldinger sendes til ukjente mottakere, noe som reduserer sannsynligheten for at kompromitterte agenter sprer angrep gjennom klarerte kontoer. Tilgangstillatelser bør også knyttes til påliteligheten til utløsende kilde, slik at agenter som behandler ekstern kommunikasjon ikke automatisk kan få tilgang til systemer med høy verdi, for eksempel plattformer for kundeforholdsstyring. Høyrisikohandlinger, inkludert deling av legitimasjon og økonomiske transaksjoner, bør fortsatt være underlagt menneskelig godkjenning.

Den uløste utfordringen med autonom tillit

Begge forskerteamene kom til slutt til samme konklusjon: AI-agenter bør ikke sees på som sikkerhetsverktøy. En mer nøyaktig modell er en junioransatt med omfattende systemtilgang, men begrenset evne til å gjenkjenne mistenkelig atferd. Et annet nyttig perspektiv er å se på dem som autentiserte utførere som iboende stoler på informasjonen de mottar.

Nåværende tiltak fokuserer på oppdateringer, sikkerhetstiltak og tilgangskontroller. Likevel er den bredere utfordringen fortsatt uløst. En AI-agent som er i stand til å lese e-poster, utføre oppgaver og handle uavhengig, må, som standard, stole på innspill og forsøke å hjelpe brukere. Nettsikkerhetsmiljøet har ennå ikke utviklet en universell løsning på denne grunnleggende spenningen.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region

Angrep som utnytter OpenClaw AI-agent

Usynlige kommandoer skjult i vanlig synsfelt

Fremveksten av agentphishing

Hvordan sosial manipulering beseiret sikkerhetskontroller

Én rotårsak, flere angrepsveier

Økende bekymringer rundt brede agenttillatelser

Bygge tryggere implementeringer av AI-agenter

Den uløste utfordringen med autonom tillit

Legg inn kommentar

Trender

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Mest sett

Eporner.com

Fuq.com

XHAMSTER Ransomware