Атаки используют уязвимость в агенте искусственного интеллекта OpenClaw.
Недавние исследования в области безопасности показали, что OpenClaw, широко используемая платформа для самостоятельного размещения агентов искусственного интеллекта, может быть использована для выполнения действий, контролируемых злоумышленником, или для раскрытия конфиденциальной информации посредством, казалось бы, безобидных входных данных.
В ходе отдельных расследований исследователи продемонстрировали два различных метода атаки. Один основывался на внедрении скрытых инструкций в общие контакты, vCard-файлы и координаты местоположения. Другой использовал тщательно составленные фишинговые электронные письма, чтобы убедить агента искусственного интеллекта раскрыть конфиденциальную деловую информацию.
Хотя OpenClaw устранил одну из этих уязвимостей в версии 2026.4.23, более широкая проблема остается неизменной: агенты ИИ, доверяющие поступающей информации, могут стать мощными инструментами для злоумышленников.
Оглавление
Невидимые команды, скрытые на виду.
Первая атака была направлена на то, как OpenClaw обрабатывает определенные объекты сообщений перед отправкой их в базовую большую языковую модель (LLM).
В отличие от веб-контента, который четко помечается как ненадежный еще до попадания в модель, контактные данные, vCard-карточки и метки местоположения вставлялись непосредственно в подсказки без каких-либо указаний на то, что они происходят из ненадежных источников. Это создало возможность для внедрения подсказок.
Атака использовала особенности сериализации контактной информации в OpenClaw. Общие контакты преобразовывались в простой формат, содержащий только имя и номер телефона. Поскольку в именах контактов допускаются такие символы, как угловые скобки, злоумышленники могли внедрять вредоносные инструкции, которые выглядели как часть контактной информации. Кроме того, в мессенджерах имена контактов часто усекаются, что не позволяет жертвам увидеть скрытую вредоносную программу.
Тот же метод оказался эффективным при использовании полей с полными именами vCard и общих меток местоположения. В ходе тестирования с предварительными сборками Gemini 3.1 Pro скрытые инструкции успешно убедили агента загрузить и выполнить код с сервера, контролируемого исследователем. Интересно, что попытки скрыть инструкции внутри изображений потерпели неудачу, вероятно, потому что современные модели ИИ прошли обширное обучение против атак с внедрением подсказок на основе изображений. Однако атаки с использованием объектов сообщений остаются менее знакомыми для современных моделей.
Исследователи предупредили, что стандартная функциональность памяти OpenClaw может усилить угрозу. Один вредоносный контакт или широко распространенный общий объект потенциально может скомпрометировать множество агентов, если отсутствуют надлежащие средства контроля в песочнице.
В соответствии с принципами ответственного раскрытия информации, OpenClaw выпустила версию 2026.4.23, в которой имена контактов, поля vCard и метки местоположения отделяются от содержимого подсказок путем размещения их в специальном канале ненадежных метаданных. Исследователи также отметили, что аналогичные шаблоны проектирования встречаются и в других персональных ИИ-помощниках, что указывает на общеотраслевую проблему, а не на проблему, специфичную для конкретной платформы.
Рост фишинга с использованием агентов
Второй исследовательский проект подошел к проблеме с другой стороны: с точки зрения социальной инженерии.
Исследователи создали тестового агента по имени Пинчи и подключили его к почтовому ящику Gmail, заполненному реалистичными, но синтетическими деловыми сообщениями и фиктивными конфиденциальными данными. Затем команда провела четыре симуляции фишинга, используя Google Gemini 3.1 Pro и OpenAI Codex GPT-5.4.
В исследовании проведено различие между традиционным внедрением вредоносных инструкций и тем, что исследователи назвали «фишингом с использованием агентов». В то время как внедрение вредоносных инструкций скрывает вредоносные указания внутри данных, фишинг с использованием агентов основан на правдоподобных запросах, передаваемых по легитимным каналам связи. Атака успешна, потому что агент действует до того, как должным образом проверит личность отправителя.
Как социальная инженерия обошла средства защиты.
Результаты моделирования фишинга вызывают опасения. Несмотря на строгие инструкции по проверке личности отправителя, агент не справился с двумя сценариями утечки данных:
В мошенническом электронном письме, отправленном от имени руководителя группы, запрашивался доступ к тестовой среде во время сфабрикованного инцидента в производственной среде. Мошенник обнаружил и переслал поддельные учетные данные AWS IAM, строки подключения к базе данных и учетные данные SSH в открытом текстовом виде.
Во втором электронном письме запрашивался стандартный еженедельный экспорт данных о клиентах для якобы ежеквартальной презентации по итогам деловой деятельности. Агент передал синтетическую базу данных, содержащую информацию о 247 корпоративных клиентах, включая контактные данные и стоимость контрактов.
Агент показал значительно лучшие результаты при столкновении с техническими атаками. Он распознавал подозрительные фишинговые сайты, избегал раскрытия легитимных учетных данных и в конечном итоге выявлял вредоносную активность. При более строгих настройках доступ к фишинговым страницам был полностью заблокирован. При появлении мошеннического экрана согласия OAuth, замаскированного под приложение для учета рабочего времени, агент проанализировал место перенаправления, определил его как подозрительное и отказал в предоставлении разрешений.
Исследователи пришли к выводу, что агент часто превосходил людей в выявлении вредоносных URL-адресов и поддельных порталов авторизации. Однако ему было сложно оценивать ситуацию с учетом контекста, особенно когда запросы, казалось, исходили от доверенных коллег. Именно та характеристика, которая делает ИИ-помощников полезными, — стремление помогать — также создает значительную уязвимость для атак.
Хотя OpenAI Codex GPT-5.4 продемонстрировал большую осторожность, чем Gemini 3.1 Pro, при взаимодействии с внешними сайтами или передаче информации, обе системы в конечном итоге стали жертвами схем социальной инженерии.
Одна первопричина, множество путей атаки.
Несмотря на использование разных методов, обе атаки задействовали одни и те же фундаментальные возможности:
- Доступ к конфиденциальной информации.
- Способность обрабатывать недостоверную информацию.
- Разрешение на отправку информации за пределы организации.
Когда эти возможности сосуществуют без достаточного контроля, вредоносная контактная карта и убедительное фишинговое электронное письмо могут привести к одному и тому же результату: несанкционированному доступу к конфиденциальным данным.
Дополнительные исследования выявили аналогичные проблемы с границами доверия в экосистеме OpenClaw. Преобразовав предыдущие уведомления о безопасности в правила статического анализа, исследователи выявили еще пять уязвимостей, затрагивающих интеграцию со Slack, Discord, Matrix, Zalo и Microsoft Teams.
Каждая уязвимость была вызвана одним и тем же недостатком в проектировании. Расширения каналов использовали изменяемые отображаемые имена, а не постоянные идентификаторы при оценке списков разрешенных пользователей. Таким образом, злоумышленник мог переименовать учетную запись, чтобы она соответствовала имени одобренного пользователя, и получить влияние на агента. Компания OpenClaw с тех пор устранила все выявленные проблемы.
Растут опасения по поводу широких прав доступа агентов.
С момента своего запуска OpenClaw привлекла к себе пристальное внимание из-за обширной системы разрешений. Платформа предоставляет доступ к локальным файлам, средам командной оболочки и более чем двадцати платформам обмена сообщениями, что делает ее очень функциональной, но и весьма уязвимой.
Обеспокоенность стала настолько серьезной, что нидерландский орган по защите персональных данных (Autoriteit Persoonsgegevens) рекомендовал частным лицам и организациям воздержаться от использования OpenClaw в системах, содержащих конфиденциальную информацию. Орган сослался на риски, включая утечки данных и компрометацию учетных записей.
Создание более безопасных развертываний агентов искусственного интеллекта
Организациям, использующим OpenClaw, следует немедленно обновить его до версии 2026.4.23 или более поздней, чтобы устранить уязвимость, связанную с объектами сообщений. Однако, помимо установки исправлений, долгосрочная защита зависит от архитектурных мер контроля, а не от оперативного проектирования.
Специалисты по безопасности рекомендуют рассматривать файлы инструкций для агентов как обязательные к исполнению, контролируемые по версиям политики, а не как рекомендательные указания. Для отправки исходящих сообщений незнакомым получателям необходимо предварительное одобрение, что снизит вероятность распространения атак через доверенные учетные записи со стороны скомпрометированных агентов. Права доступа также должны быть привязаны к надежности источника, вызывающего атаку, гарантируя, что агенты, обрабатывающие внешние сообщения, не смогут автоматически получить доступ к важным системам, таким как платформы управления взаимоотношениями с клиентами. Действия с высоким риском, включая обмен учетными данными и финансовые транзакции, должны по-прежнему требовать одобрения человека.
Нерешенная проблема автономного доверия
Обе исследовательские группы в конечном итоге пришли к одному и тому же выводу: агентов ИИ не следует рассматривать как инструменты обеспечения безопасности. Более точной моделью является младший сотрудник с широким доступом к системе, но ограниченной способностью распознавать подозрительное поведение. Другой полезной точкой зрения является рассмотрение их как авторизованных исполнителей, которые по своей природе доверяют получаемой информации.
В настоящее время меры по смягчению последствий сосредоточены на установке патчей, защитных механизмах и контроле доступа. Однако более масштабная проблема остается нерешенной. ИИ-агент, способный читать электронные письма, выполнять задачи и действовать независимо, по своей сути должен доверять вводимым данным и пытаться помочь пользователям. Сообщество специалистов по кибербезопасности еще не разработало универсального решения этой фундаментальной проблемы.
