आक्रमणहरूले OpenClaw AI एजेन्टको शोषण गर्छन्

हालैको सुरक्षा अनुसन्धानले खुलासा गरेको छ कि ओपनक्ल, एक व्यापक रूपमा प्रयोग हुने स्व-होस्ट गरिएको एआई एजेन्ट प्लेटफर्म, आक्रमणकारी-नियन्त्रित कार्यहरू कार्यान्वयन गर्न वा हानिरहित देखिने इनपुटहरू मार्फत संवेदनशील जानकारी खुलासा गर्न हेरफेर गर्न सकिन्छ।

छुट्टाछुट्टै अनुसन्धानमा, अनुसन्धानकर्ताहरूले दुई फरक आक्रमण विधिहरू प्रदर्शन गरे। एउटाले साझा सम्पर्कहरू, vCards, र स्थान पिनहरू भित्र लुकेका निर्देशनहरू इम्बेड गर्ने कुरामा भर पर्यो। अर्कोले संवेदनशील व्यावसायिक जानकारी चुहावट गर्न एआई एजेन्टलाई मनाउन सावधानीपूर्वक तयार पारिएका फिसिङ इमेलहरू प्रयोग गर्‍यो।

OpenClaw ले संस्करण २०२६.४.२३ मा यी मध्ये एउटा कमजोरीलाई सम्बोधन गरेको भए तापनि, व्यापक मुद्दा अपरिवर्तित छ: आगमन जानकारीमा विश्वास गर्ने AI एजेन्टहरू आक्रमणकारीहरूका लागि शक्तिशाली उपकरण बन्न सक्छन्।

सादा दृष्टिमा लुकेका अदृश्य आदेशहरू

पहिलो आक्रमणले OpenClaw ले निश्चित सन्देश वस्तुहरूलाई अन्तर्निहित ठूलो भाषा मोडेल (LLM) मा पठाउनु अघि कसरी प्रशोधन गर्छ भनेर लक्षित गरेको थियो।

मोडेलमा पुग्नु अघि स्पष्ट रूपमा अविश्वसनीयको रूपमा चिन्ह लगाइएको वेब सामग्रीको विपरीत, सम्पर्क रेकर्डहरू, vCards, र स्थान लेबलहरू अविश्वसनीय स्रोतहरूबाट उत्पन्न भएको कुनै संकेत बिना नै सिधै प्रम्प्टहरूमा घुसाइयो। यसले प्रम्प्ट इन्जेक्सनको लागि अवसर सिर्जना गर्‍यो।

आक्रमणले OpenClaw ले सम्पर्क जानकारीलाई क्रमबद्ध गर्ने तरिकाको शोषण गर्‍यो। साझा सम्पर्कहरूलाई नाम र फोन नम्बर मात्र भएको साधारण ढाँचामा रूपान्तरण गरियो। सम्पर्क नामहरू भित्र कोण कोष्ठक जस्ता वर्णहरूलाई अनुमति दिइएको हुनाले, आक्रमणकारीहरूले सम्पर्क जानकारीको अंश देखिने दुर्भावनापूर्ण निर्देशनहरू एम्बेड गर्न सक्थे। थप रूपमा, सम्पर्क नामहरू प्रायः सन्देश अनुप्रयोगहरूमा काटिन्छन्, जसले गर्दा पीडितहरूलाई लुकेको पेलोड देख्नबाट रोकिन्छ।

vCard फुल-नेम फिल्डहरू र साझा स्थान लेबलहरू मार्फत पनि उही प्रविधि प्रभावकारी साबित भयो। जेमिनी ३.१ प्रो प्रिभ्यू बिल्डहरूसँग परीक्षणको क्रममा, लुकेका निर्देशनहरूले एजेन्टलाई अनुसन्धानकर्ता-नियन्त्रित सर्भरबाट कोड डाउनलोड गर्न र कार्यान्वयन गर्न सफलतापूर्वक राजी गराए। चाखलाग्दो कुरा के छ भने, छविहरू भित्र निर्देशनहरू लुकाउने प्रयासहरू असफल भए, सम्भवतः किनभने आधुनिक एआई मोडेलहरूले छवि-आधारित प्रम्प्ट इंजेक्शन आक्रमणहरू विरुद्ध व्यापक प्रशिक्षण प्राप्त गरेका छन्। यद्यपि, सन्देश-वस्तु आक्रमणहरू हालका मोडेलहरूसँग कम परिचित छन्।

अनुसन्धानकर्ताहरूले चेतावनी दिएका छन् कि OpenClaw को पूर्वनिर्धारित मेमोरी कार्यक्षमताले खतरालाई बढाउन सक्छ। उचित स्यान्डबक्सिङ नियन्त्रणहरू अनुपस्थित भएमा व्यापक रूपमा वितरित एकल दुर्भावनापूर्ण सम्पर्क वा साझा वस्तुले सम्भावित रूपमा धेरै एजेन्टहरूलाई सम्झौता गर्न सक्छ।

जिम्मेवार खुलासा पछि, OpenClaw ले संस्करण २०२६.४.२३ जारी गर्‍यो, जसले सम्पर्क नामहरू, vCard क्षेत्रहरू, र स्थान लेबलहरूलाई समर्पित अविश्वसनीय मेटाडेटा च्यानलमा राखेर प्रम्प्ट सामग्रीबाट अलग गर्दछ। अनुसन्धानकर्ताहरूले यो पनि उल्लेख गरे कि समान डिजाइन ढाँचाहरू अन्य व्यक्तिगत एआई सहायकहरूमा देखा परेका छन्, जसले प्लेटफर्म-विशिष्ट मुद्दाको सट्टा उद्योग-व्यापी चुनौतीलाई संकेत गर्दछ।

एजेन्ट फिसिङको उदय

दोस्रो अनुसन्धान परियोजनाले समस्यालाई फरक कोणबाट हेर्यो: सामाजिक इन्जिनियरिङ।

अनुसन्धानकर्ताहरूले पिन्ची नामक परीक्षण एजेन्ट बनाए र यसलाई यथार्थपरक तर कृत्रिम व्यापार संचार र नक्कली संवेदनशील डेटाले भरिएको जीमेल इनबक्समा जडान गरे। त्यसपछि टोलीले गुगल जेमिनी ३.१ प्रो र ओपनएआई कोडेक्स GPT-५.४ दुवै प्रयोग गरेर चार फिसिङ सिमुलेशनहरू सञ्चालन गर्‍यो।

अध्ययनले परम्परागत प्रम्प्ट इन्जेक्सनलाई अनुसन्धानकर्ताहरूले 'एजेन्ट फिसिङ' भनेर वर्णन गरेको भन्दा फरक पारेको छ। प्रम्प्ट इन्जेक्सनले डेटा भित्र दुर्भावनापूर्ण निर्देशनहरू लुकाउँछ भने, एजेन्ट फिसिङ वैध सञ्चार च्यानलहरू मार्फत डेलिभर गरिएका विश्वासयोग्य अनुरोधहरूमा निर्भर गर्दछ। आक्रमण सफल हुन्छ किनभने एजेन्टले प्रेषकको पहिचान पर्याप्त रूपमा प्रमाणित गर्नु अघि नै कार्य गर्दछ।

सामाजिक इन्जिनियरिङले सुरक्षा नियन्त्रणहरूलाई कसरी पराजित गर्‍यो

फिसिङ सिमुलेशनहरूले चिन्ताजनक परिणामहरू उत्पादन गरे। प्रेषक पहिचान प्रमाणित गर्न कडा निर्देशनहरू अन्तर्गत सञ्चालन गरे तापनि, एजेन्टले दुई डेटा-एक्सफिल्ट्रेसन परिदृश्यहरू असफल भयो:

टोली नेताको नक्कल गर्ने एउटा धोखाधडीपूर्ण इमेलले बनावटी उत्पादन घटनाको क्रममा स्टेजिङ पहुँचको लागि अनुरोध गरेको थियो। एजेन्टले नक्कली AWS IAM प्रमाणपत्रहरू, डाटाबेस जडान स्ट्रिङहरू, र SSH प्रमाणपत्रहरू सादा पाठमा फेला पारे र फर्वार्ड गरे।

दोस्रो इमेलले त्रैमासिक व्यापार समीक्षा प्रस्तुतीकरणको लागि नियमित साप्ताहिक ग्राहक निर्यातको अनुरोध गर्‍यो। एजेन्टले सम्पर्क र सम्झौता मूल्यहरू सहित २४७ उद्यम ग्राहकहरूको जानकारी भएको सिंथेटिक डाटाबेस प्रसारण गर्‍यो।

प्राविधिक आक्रमणहरूको सामना गर्दा एजेन्टले उल्लेखनीय रूपमा राम्रो प्रदर्शन गर्‍यो। यसले शंकास्पद फिसिङ वेबसाइटहरू पहिचान गर्‍यो, वैध प्रमाणहरू उजागर गर्नबाट जोगियो, र अन्ततः दुर्भावनापूर्ण गतिविधिलाई फ्ल्याग गर्‍यो। कडा सेटिङहरू अन्तर्गत, फिसिङ पृष्ठहरूमा पहुँच पूर्ण रूपमा रोकिएको थियो। टाइमशीट अनुप्रयोगको रूपमा लुकाइएको धोखाधडी OAuth सहमति स्क्रिन प्रस्तुत गर्दा, एजेन्टले रिडिरेक्ट गन्तव्यको विश्लेषण गर्‍यो, यो शंकास्पद थियो भनेर निर्धारण गर्‍यो, र अनुमतिहरू प्रदान गर्न अस्वीकार गर्‍यो।

अनुसन्धानकर्ताहरूले निष्कर्ष निकाले कि एजेन्टले प्रायः दुर्भावनापूर्ण URL र नक्कली लगइन पोर्टलहरू पहिचान गर्न मानिसहरूलाई पछाडि पारेको थियो। यद्यपि, यसले प्रासंगिक सामाजिक निर्णयसँग संघर्ष गर्यो, विशेष गरी जब अनुरोधहरू विश्वसनीय सहकर्मीहरूबाट आएको देखिन्थ्यो। एआई सहायकहरूलाई उपयोगी बनाउने विशेषता, सहयोगी हुने इच्छाले पनि महत्त्वपूर्ण आक्रमण सतह सिर्जना गर्दछ।

यद्यपि OpenAI कोडेक्स GPT-5.4 ले बाह्य साइटहरूसँग अन्तर्क्रिया गर्दा वा जानकारी प्रसारण गर्दा जेमिनी ३.१ प्रो भन्दा बढी सावधानी देखाएको थियो, दुवै प्रणालीहरू अन्ततः सामाजिक इन्जिनियरिङ परिदृश्यहरूको शिकार भए।

एउटा मूल कारण, धेरै आक्रमण मार्गहरू

फरक-फरक प्रविधि प्रयोग गरे तापनि, दुवै आक्रमणहरूले समान आधारभूत क्षमताहरूको शोषण गरे:

• निजी जानकारीमा पहुँच।

जब यी क्षमताहरू पर्याप्त नियन्त्रण बिना सहअस्तित्वमा हुन्छन्, तब एक दुर्भावनापूर्ण सम्पर्क कार्ड र एक विश्वस्त फिसिङ इमेलले समान परिणाम निम्त्याउन सक्छ: संवेदनशील डेटामा अनधिकृत पहुँच।

थप अनुसन्धानले OpenClaw को इकोसिस्टम भित्र समान विश्वास-सीमा समस्याहरू पत्ता लगायो। अघिल्ला सुरक्षा सल्लाहहरूलाई स्थिर-विश्लेषण नियमहरूमा रूपान्तरण गरेर, अनुसन्धानकर्ताहरूले Slack, Discord, Matrix, Zalo, र Microsoft Teams सँग एकीकरणलाई असर गर्ने पाँच थप कमजोरीहरू पहिचान गरे।

प्रत्येक जोखिम एउटै डिजाइन त्रुटिबाट उत्पन्न भएको थियो। च्यानल एक्सटेन्सनहरू अनुमति सूचीहरूको मूल्याङ्कन गर्दा स्थायी पहिचानकर्ताहरूको सट्टा परिवर्तनीय प्रदर्शन नामहरूमा भर पर्थे। त्यसैले आक्रमणकारीले अनुमोदित प्रयोगकर्तासँग मेल खाने र एजेन्टमाथि प्रभाव प्राप्त गर्न खाताको नाम परिवर्तन गर्न सक्थ्यो। OpenClaw ले त्यसपछि पहिचान गरिएका सबै समस्याहरूलाई समाधान गरिसकेको छ।

व्यापक एजेन्ट अनुमतिहरूको बारेमा बढ्दो चिन्ताहरू

यसको सुरुवातदेखि नै, OpenClaw ले यसको व्यापक अनुमतिहरूको कारणले छानबिनलाई आकर्षित गरेको छ। प्लेटफर्मले स्थानीय फाइलहरू, शेल वातावरणहरू, र बीस भन्दा बढी सन्देश प्लेटफर्महरूमा पहुँच प्रदान गर्दछ, जसले यसलाई अत्यधिक सक्षम तर अत्यधिक खुला पनि बनाउँछ।

चिन्ताहरू यति गम्भीर भएका छन् कि डच डेटा सुरक्षा प्राधिकरण, अटोराइट पर्सोन्सगेगेभेन्सले व्यक्ति र संस्थाहरूलाई संवेदनशील जानकारी भएका प्रणालीहरूमा ओपनक्ल प्रयोग नगर्न सल्लाह दियो। प्राधिकरणले डेटा उल्लंघन र खाता सम्झौता लगायतका जोखिमहरू उल्लेख गरेको छ।

सुरक्षित एआई एजेन्ट तैनाथीहरू निर्माण गर्दै

OpenClaw प्रयोग गर्ने संस्थाहरूले सन्देश-वस्तु जोखिमलाई सम्बोधन गर्न तुरुन्तै संस्करण २०२६.४.२३ वा पछिको संस्करणमा स्तरोन्नति गर्नुपर्छ। यद्यपि, प्याचिङ बाहेक, दीर्घकालीन सुरक्षा द्रुत इन्जिनियरिङको सट्टा वास्तुकला नियन्त्रणहरूमा निर्भर गर्दछ।

सुरक्षा विशेषज्ञहरूले एजेन्ट निर्देशन फाइलहरूलाई सल्लाहकार मार्गदर्शनको सट्टा लागूयोग्य, संस्करण-नियन्त्रित नीतिहरूको रूपमा व्यवहार गर्न सिफारिस गर्छन्। अपरिचित प्राप्तकर्ताहरूलाई सन्देशहरू पठाउनु अघि आउटबाउन्ड सञ्चारहरूलाई स्वीकृति आवश्यक पर्दछ, जसले गर्दा विश्वसनीय खाताहरू मार्फत सम्झौता गरिएका एजेन्टहरूले आक्रमण फैलाउने सम्भावना कम हुन्छ। पहुँच अनुमतिहरू ट्रिगर गर्ने स्रोतको विश्वसनीयतासँग पनि जोडिएको हुनुपर्छ, जसले गर्दा बाह्य सञ्चार प्रशोधन गर्ने एजेन्टहरूले ग्राहक सम्बन्ध व्यवस्थापन प्लेटफर्महरू जस्ता उच्च-मूल्य प्रणालीहरूमा स्वचालित रूपमा पहुँच गर्न सक्दैनन् भन्ने कुरा सुनिश्चित हुन्छ। प्रमाण साझेदारी र वित्तीय लेनदेन सहित उच्च-जोखिम कार्यहरू मानव अनुमोदनको अधीनमा रहनुपर्छ।

स्वायत्त ट्रस्टको अनसुलझेको चुनौती

दुवै अनुसन्धान टोलीहरू अन्ततः एउटै निष्कर्षमा पुगे: एआई एजेन्टहरूलाई सुरक्षा उपकरणको रूपमा हेर्नु हुँदैन। अझ सटीक मोडेल भनेको व्यापक प्रणाली पहुँच भएको तर शंकास्पद व्यवहार पहिचान गर्ने सीमित क्षमता भएको जुनियर कर्मचारीको हो। अर्को उपयोगी दृष्टिकोण भनेको उनीहरूलाई प्रमाणित कार्यकारीहरूको रूपमा हेर्नु हो जसले उनीहरूले प्राप्त गर्ने जानकारीमा स्वाभाविक रूपमा विश्वास गर्छन्।

हालका न्यूनीकरणहरू प्याचहरू, रेलिङहरू, र पहुँच नियन्त्रणहरूमा केन्द्रित छन्। तैपनि व्यापक चुनौती अझै समाधान भएको छैन। इमेलहरू पढ्न, कार्यहरू कार्यान्वयन गर्न र स्वतन्त्र रूपमा कार्य गर्न सक्षम एआई एजेन्टले डिजाइनद्वारा, इनपुटहरूमा विश्वास गर्नुपर्छ र प्रयोगकर्ताहरूलाई मद्दत गर्ने प्रयास गर्नुपर्छ। साइबर सुरक्षा समुदायले अझैसम्म त्यो आधारभूत तनावको विश्वव्यापी समाधान विकास गरेको छैन।