Atacurile exploatează agentul de inteligență artificială OpenClaw
Cercetări recente în domeniul securității au dezvăluit că OpenClaw, o platformă de agenți AI auto-găzduită utilizată pe scară largă, poate fi manipulată pentru a executa acțiuni controlate de atacatori sau pentru a divulga informații sensibile prin date de intrare aparent inofensive.
În investigații separate, cercetătorii au demonstrat două metode distincte de atac. Una se baza pe încorporarea de instrucțiuni ascunse în contactele partajate, vCard-urile și codurile PIN-urilor de locație. Cealaltă folosea e-mailuri de phishing atent elaborate pentru a convinge un agent de inteligență artificială să scurgă informații sensibile despre afaceri.
Deși OpenClaw a remediat una dintre aceste vulnerabilități în versiunea 2026.4.23, problema mai amplă rămâne neschimbată: agenții de inteligență artificială care au încredere în informațiile primite pot deveni instrumente puternice pentru atacatori.
Cuprins
Comenzi invizibile ascunse la vedere
Primul atac a vizat modul în care OpenClaw procesează anumite obiecte de mesaj înainte de a le trimite către modelul lingvistic mare (LLM) subiacent.
Spre deosebire de conținutul web, care este marcat în mod clar ca nefiind de încredere înainte de a ajunge la model, înregistrările de contacte, vCard-urile și etichetele de locație au fost inserate direct în prompturi fără nicio indicație că acestea proveneau din surse nefiind de încredere. Acest lucru a creat o oportunitate pentru injectarea prompturilor.
Atacul a exploatat modul în care OpenClaw serializa informațiile de contact. Contactele partajate au fost convertite într-un format simplu care conținea doar un nume și un număr de telefon. Deoarece caractere precum parantezele unghiulare sunt permise în numele contactelor, atacatorii puteau încorpora instrucțiuni rău intenționate care păreau a face parte din informațiile de contact. În plus, numele contactelor sunt adesea trunchiate în aplicațiile de mesagerie, împiedicând victimele să vadă sarcina utilă ascunsă.
Aceeași tehnică s-a dovedit eficientă prin intermediul câmpurilor de nume complet vCard și al etichetelor de locație partajate. În timpul testelor cu versiunile de previzualizare Gemini 3.1 Pro, instrucțiunile ascunse au convins cu succes agentul să descarce și să execute cod de pe un server controlat de cercetători. Interesant este că încercările de a ascunde instrucțiunile în imagini au eșuat, probabil pentru că modelele moderne de inteligență artificială au primit o instruire extinsă împotriva atacurilor de tip injecție de prompturi bazate pe imagini. Atacurile de tip obiect mesaj, însă, rămân mai puțin familiare modelelor actuale.
Cercetătorii au avertizat că funcționalitatea implicită de memorie a OpenClaw ar putea amplifica amenințarea. Un singur contact rău intenționat sau un obiect partajat distribuit pe scară largă ar putea compromite numeroși agenți dacă nu există controale adecvate de tip sandboxing.
În urma dezvăluirii responsabile, OpenClaw a lansat versiunea 2026.4.23, care separă numele contactelor, câmpurile vCard și etichetele locațiilor de conținutul prompturilor, plasându-le într-un canal de metadate dedicat, nesigur. Cercetătorii au observat, de asemenea, că modele de design similare au apărut și în cazul altor asistenți personali cu inteligență artificială, indicând o provocare la nivelul întregii industrii, mai degrabă decât o problemă specifică platformei.
Ascensiunea phishing-ului cu agenți
Un al doilea proiect de cercetare a abordat problema dintr-o perspectivă diferită: ingineria socială.
Cercetătorii au construit un agent de testare numit Pinchy și l-au conectat la o căsuță poștală Gmail populată cu comunicări de afaceri realiste, dar sintetice, și date sensibile simulate. Echipa a efectuat apoi patru simulări de phishing folosind atât Google Gemini 3.1 Pro, cât și OpenAI Codex GPT-5.4.
Studiul a făcut distincția între injecția de prompturi tradițională și ceea ce cercetătorii au descris drept „phishing prin agenți”. În timp ce injecția de prompturi ascunde instrucțiuni malițioase în interiorul datelor, phishing-ul prin agenți se bazează pe solicitări credibile transmise prin canale de comunicare legitime. Atacul reușește deoarece agentul acționează înainte de a verifica în mod adecvat identitatea expeditorului.
Cum a învins ingineria socială controalele de securitate
Simulările de phishing au produs rezultate îngrijorătoare. Deși a operat sub instrucțiuni stricte de verificare a identităților expeditorilor, agentul a eșuat în două scenarii de exfiltrare a datelor:
Un e-mail fraudulos care se prefăcea a fi un lider de echipă a solicitat acces la serviciul de testare în timpul unui incident de producție fabricat. Agentul a localizat și a transmis acreditări AWS IAM false, șiruri de conectare la baza de date și acreditări SSH în text simplu.
Un al doilea e-mail solicita un export săptămânal de rutină al clienților pentru o presupusă prezentare trimestrială de analiză a afacerii. Agentul a transmis o bază de date sintetică care conținea informații despre 247 de clienți enterprise, inclusiv contacte și valori ale contractelor.
Agentul a avut performanțe semnificativ mai bune atunci când s-a confruntat cu atacuri tehnice. A recunoscut site-urile web suspecte de phishing, a evitat expunerea acreditărilor legitime și, în cele din urmă, a semnalat activități rău intenționate. În condiții de setări mai stricte, accesul la paginile de phishing a fost blocat complet. Când a fost prezentat un ecran de consimțământ OAuth fraudulos, deghizat într-o aplicație de pontaj, agentul a analizat destinația de redirecționare, a stabilit că este suspectă și a refuzat să acorde permisiuni.
Cercetătorii au concluzionat că agentul a depășit adesea performanța oamenilor în identificarea URL-urilor malițioase și a portalurilor de conectare false. Cu toate acestea, a avut dificultăți cu judecata socială contextuală, în special atunci când solicitările păreau să vină de la colegi de încredere. Chiar caracteristica care face ca asistenții AI să fie utili, dorința de a fi de ajutor, creează, de asemenea, o suprafață de atac semnificativă.
Deși OpenAI Codex GPT-5.4 a demonstrat o prudență mai mare decât Gemini 3.1 Pro atunci când a interacționat cu site-uri externe sau a transmis informații, ambele sisteme au căzut în cele din urmă victime scenariilor de inginerie socială.
O singură cauză principală, mai multe căi de atac
Deși au folosit tehnici diferite, ambele atacuri au exploatat aceleași capabilități fundamentale:
- Accesul la informații private.
- Capacitatea de a procesa conținut neîncrezător.
- Permisiunea de a trimite informații în exterior.
Atunci când aceste capabilități coexistă fără controale suficiente, o fișă de contact rău intenționată și un e-mail de phishing convingător pot produce același rezultat: acces neautorizat la date sensibile.
Cercetări suplimentare au descoperit probleme similare legate de limitele de încredere în cadrul ecosistemului OpenClaw. Prin transformarea avertismentelor de securitate anterioare în reguli de analiză statică, cercetătorii au identificat cinci vulnerabilități suplimentare care afectează integrările cu Slack, Discord, Matrix, Zalo și Microsoft Teams.
Fiecare vulnerabilitate provenea din aceeași eroare de proiectare. Extensiile de canal se bazau pe nume afișate mutabile, mai degrabă decât pe identificatori permanenți, atunci când evaluau listele de acces permise. Prin urmare, un atacator putea redenumi un cont pentru a se potrivi cu un utilizator aprobat și a obține influență asupra agentului. OpenClaw a remediat ulterior toate problemele identificate.
Îngrijorări tot mai mari legate de permisiunile extinse ale agenților
Încă de la lansare, OpenClaw a atras atenția datorită permisiunilor sale extinse. Platforma oferă acces la fișiere locale, medii shell și peste douăzeci de platforme de mesagerie, ceea ce o face extrem de capabilă, dar și foarte expusă.
Îngrijorările au devenit suficient de semnificative încât autoritatea olandeză pentru protecția datelor, Autoriteit Persoonsgegevens, a sfătuit persoanele fizice și organizațiile să nu implementeze OpenClaw pe sistemele care conțin informații sensibile. Autoritatea a invocat riscuri precum încălcarea securității datelor și compromiterea conturilor.
Construirea de implementări mai sigure ale agenților AI
Organizațiile care utilizează OpenClaw ar trebui să facă imediat upgrade la versiunea 2026.4.23 sau o versiune ulterioară pentru a remedia vulnerabilitatea obiectului mesaj. Dincolo de aplicarea de patch-uri, însă, protecția pe termen lung depinde de controale arhitecturale, mai degrabă decât de inginerie promptă.
Specialiștii în securitate recomandă tratarea fișierelor cu instrucțiuni ale agenților ca politici aplicabile, controlate de versiuni, în loc de îndrumări consultative. Comunicațiile de ieșire ar trebui să necesite aprobare înainte ca mesajele să fie trimise către destinatari necunoscuți, reducând probabilitatea ca agenții compromiși să răspândească atacuri prin conturi de încredere. Permisiunile de acces ar trebui, de asemenea, să fie legate de credibilitatea sursei declanșatoare, asigurându-se că agenții care procesează comunicațiile externe nu pot accesa automat sisteme valoroase, cum ar fi platformele de gestionare a relațiilor cu clienții. Acțiunile cu risc ridicat, inclusiv partajarea acreditărilor și tranzacțiile financiare, ar trebui să rămână supuse aprobării umane.
Provocarea nerezolvată a încrederii autonome
Ambele echipe de cercetare au ajuns în cele din urmă la aceeași concluzie: agenții de inteligență artificială nu ar trebui considerați instrumente de securitate. Un model mai precis este cel al unui angajat junior cu acces extins la sistem, dar cu capacitate limitată de a recunoaște comportamente suspecte. O altă perspectivă utilă este de a-i considera executori autentificați care au încredere în mod inerent în informațiile pe care le primesc.
Mișcările actuale de atenuare a problemelor se concentrează pe patch-uri, bariere de protecție și controale de acces. Cu toate acestea, provocarea mai amplă rămâne nerezolvată. Un agent de inteligență artificială capabil să citească e-mailuri, să execute sarcini și să acționeze independent trebuie, prin design, să aibă încredere în intrările de date și să încerce să ajute utilizatorii. Comunitatea de securitate cibernetică nu a dezvoltat încă o soluție universală la această tensiune fundamentală.
