Útoky zneužívajú agenta AI OpenClaw

Do roku Mezo v roku Phishing

Preložiť do:

Nedávny bezpečnostný výskum odhalil, že OpenClaw, široko používaná platforma agentov umelej inteligencie s vlastným hostingom, môže byť manipulovaná tak, aby vykonávala akcie ovládané útočníkom alebo zverejňovala citlivé informácie prostredníctvom zdanlivo neškodných vstupov.

V samostatných vyšetrovaniach výskumníci demonštrovali dve odlišné metódy útoku. Jedna sa spoliehala na vkladanie skrytých pokynov do zdieľaných kontaktov, vizitiek vCard a pripnutých údajov o polohe. Druhá používala starostlivo vytvorené phishingové e-maily na presvedčenie agenta umelej inteligencie, aby zverejnil citlivé obchodné informácie.

Hoci OpenClaw vo verzii 2026.4.23 vyriešil jednu z týchto zraniteľností, širší problém zostáva nezmenený: Agenti umelej inteligencie, ktorí dôverujú prichádzajúcim informáciám, sa môžu stať silnými nástrojmi pre útočníkov.

Obsah

Neviditeľné príkazy skryté na očiach

Prvý útok bol zameraný na to, ako OpenClaw spracováva určité objekty správ pred ich odoslaním do podkladového modelu veľkého jazyka (LLM).

Na rozdiel od webového obsahu, ktorý je pred dosiahnutím modelu jasne označený ako nedôveryhodný, boli záznamy kontaktov, vCards a označenia polohy vložené priamo do výziev bez akéhokoľvek náznaku, že pochádzajú z nedôveryhodných zdrojov. To vytvorilo príležitosť na vloženie výziev.

Útok zneužil spôsob, akým OpenClaw serializoval kontaktné informácie. Zdieľané kontakty boli prevedené do jednoduchého formátu obsahujúceho iba meno a telefónne číslo. Keďže v menách kontaktov sú povolené znaky, ako sú napríklad lomené zátvorky, útočníci mohli vložiť škodlivé pokyny, ktoré sa javili ako súčasť kontaktných informácií. Okrem toho sú mená kontaktov v aplikáciách na odosielanie správ často skrátené, čo bráni obetiam v zobrazení skrytého obsahu.

Rovnaká technika sa ukázala ako účinná prostredníctvom polí s celým menom vCard a zdieľaných označení umiestnenia. Počas testovania s ukážkovými zostavami Gemini 3.1 Pro sa skrytým inštrukciám úspešne podarilo presvedčiť agenta, aby stiahol a spustil kód zo servera ovládaného výskumníkom. Je zaujímavé, že pokusy o skrytie inštrukcií v obrázkoch zlyhali, pravdepodobne preto, že moderné modely umelej inteligencie absolvovali rozsiahle školenie proti útokom typu prompt injection založeným na obrázkoch. Útoky typu Message-Object však zostávajú pre súčasné modely menej známe.

Výskumníci varovali, že predvolená pamäťová funkcia OpenClaw by mohla hrozbu zosilniť. Jeden škodlivý kontakt alebo zdieľaný objekt distribuovaný vo veľkom rozsahu by mohol potenciálne ohroziť viacero agentov, ak chýbajú vhodné kontroly sandboxu.

Po zodpovednom zverejnení informácií spoločnosť OpenClaw vydala verziu 2026.4.23, ktorá oddeľuje mená kontaktov, polia vCard a označenia polohy od obsahu výzvy ich umiestnením do vyhradeného nedôveryhodného kanála metadát. Výskumníci tiež poznamenali, že podobné návrhové vzory sa objavili aj v iných osobných asistentoch s umelou inteligenciou, čo naznačuje skôr problém v celom odvetví než problém špecifický pre platformu.

Vzostup phishingu agentov

Druhý výskumný projekt sa k problému priblížil z iného uhla pohľadu: sociálneho inžinierstva.

Výskumníci vytvorili testovacieho agenta s názvom Pinchy a prepojili ho s doručenou poštou v Gmaile, ktorá obsahovala realistickú, ale syntetickú obchodnú komunikáciu a falošne citlivé údaje. Tím potom vykonal štyri phishingové simulácie pomocou Google Gemini 3.1 Pro a OpenAI Codex GPT-5.4.

Štúdia rozlišovala medzi tradičným prompt injection a tým, čo výskumníci opísali ako „agent phishing“. Zatiaľ čo prompt injection skrýva škodlivé pokyny v dátach, agent phishing sa spolieha na dôveryhodné požiadavky doručené prostredníctvom legitímnych komunikačných kanálov. Útok je úspešný, pretože agent koná predtým, ako adekvátne overí identitu odosielateľa.

Ako sociálne inžinierstvo porazilo bezpečnostné kontroly

Simulácie phishingu priniesli znepokojujúce výsledky. Napriek tomu, že agent pracoval podľa prísnych pokynov na overenie identity odosielateľa, zlyhal v dvoch scenároch úniku údajov:

Podvodný e-mail, v ktorom sa vydával za vedúceho tímu a požadoval prístup k pracovnému priestoru počas vykonštruovaného produkčného incidentu. Agent našiel a preposlal falošné prihlasovacie údaje AWS IAM, reťazce pripojenia k databáze a prihlasovacie údaje SSH v obyčajnom texte.

V druhom e-maile sa požadoval bežný týždenný export zákazníkov pre údajnú štvrťročnú prezentáciu obchodného prehľadu. Agent odoslal syntetickú databázu obsahujúcu informácie o 247 podnikových zákazníkoch vrátane kontaktov a hodnoty zmlúv.

Agent si viedol výrazne lepšie pri riešení technických útokov. Rozpoznal podozrivé phishingové webové stránky, vyhol sa odhaleniu legitímnych prihlasovacích údajov a nakoniec nahlásil škodlivú aktivitu. Pri prísnejších nastaveniach bol prístup k phishingovým stránkam úplne zablokovaný. Keď sa agentovi zobrazila podvodná obrazovka so súhlasom OAuth maskovaná ako aplikácia na výkaz pracovnej doby, analyzoval cieľ presmerovania, zistil, že je podozrivý, a odmietol udeliť povolenia.

Výskumníci dospeli k záveru, že agent často prekonával ľudí v identifikácii škodlivých URL adries a falošných prihlasovacích portálov. Mal však problémy s kontextovým sociálnym posudzovaním, najmä keď sa zdalo, že požiadavky pochádzajú od dôveryhodných kolegov. Samotná vlastnosť, ktorá robí asistentov s umelou inteligenciou užitočnými, túžba byť nápomocný, tiež vytvára značný priestor pre útok.

Hoci OpenAI Codex GPT-5.4 preukázal väčšiu opatrnosť ako Gemini 3.1 Pro pri interakcii s externými stránkami alebo prenose informácií, oba systémy sa nakoniec stali obeťami scenárov sociálneho inžinierstva.

Jedna hlavná príčina, viacero ciest útoku

Napriek použitiu rôznych techník oba útoky využívali rovnaké základné možnosti:

Prístup k súkromným informáciám.

Schopnosť spracovať nedôveryhodný obsah.

Povolenie na odosielanie informácií externe.

Keď tieto možnosti existujú súčasne bez dostatočných kontrol, škodlivá karta kontaktu a presvedčivý phishingový e-mail môžu viesť k rovnakému výsledku: neoprávnenému prístupu k citlivým údajom.

Ďalší výskum odhalil podobné problémy s hranicami dôveryhodnosti v ekosystéme OpenClaw. Prevedením predchádzajúcich bezpečnostných upozornení do pravidiel statickej analýzy výskumníci identifikovali ďalších päť zraniteľností ovplyvňujúcich integrácie so Slackom, Discordom, Matrixom, Zalom a Microsoft Teamsom.

Každá zraniteľnosť pramenila z rovnakej konštrukčnej chyby. Rozšírenia kanálov sa pri vyhodnocovaní povolených zoznamov spoliehali na meniteľné zobrazované názvy namiesto trvalých identifikátorov. Útočník by tak mohol premenovať účet tak, aby zodpovedal schválenému používateľovi, a získať tak vplyv nad agentom. OpenClaw odvtedy všetky identifikované problémy opravil.

Rastúce obavy týkajúce sa širokých oprávnení agentov

Od svojho spustenia si OpenClaw získal pozornosť kvôli svojim rozsiahlym oprávneniam. Platforma poskytuje prístup k lokálnym súborom, prostrediam shellu a viac ako dvadsiatim platformám na zasielanie správ, vďaka čomu je veľmi výkonná, ale aj vysoko exponovaná.

Obavy sa stali natoľko závažnými, že holandský úrad na ochranu údajov Autoriteit Persoonsgegevens odporučil jednotlivcom a organizáciám, aby nenasadzovali OpenClaw na systémoch obsahujúcich citlivé informácie. Úrad uviedol riziká vrátane únikov údajov a kompromitácie účtov.

Vytváranie bezpečnejších nasadení agentov umelej inteligencie

Organizácie používajúce OpenClaw by mali okamžite prejsť na verziu 2026.4.23 alebo novšiu, aby sa vyriešila zraniteľnosť typu message-object. Okrem opráv však dlhodobá ochrana závisí skôr od architektonických kontrol než od promptného inžinierstva.

Bezpečnostní špecialisti odporúčajú považovať súbory s pokynmi agentov za vynútiteľné politiky s kontrolou verzií, a nie za poradné usmernenia. Odchádzajúca komunikácia by mala vyžadovať schválenie pred odoslaním správ neznámym príjemcom, čím sa znižuje pravdepodobnosť šírenia útokov prostredníctvom dôveryhodných účtov zo strany napadnutých agentov. Prístupové povolenia by mali byť tiež viazané na dôveryhodnosť zdroja, čím sa zabezpečí, že agenti spracovávajúci externú komunikáciu nemôžu automaticky pristupovať k systémom s vysokou hodnotou, ako sú platformy na správu vzťahov so zákazníkmi. Vysokorizikové akcie vrátane zdieľania poverení a finančných transakcií by mali zostať podliehať ľudskému schváleniu.

Nevyriešená výzva autonómnej dôvery

Oba výskumné tímy nakoniec dospeli k rovnakému záveru: Agenti umelej inteligencie by sa nemali považovať za bezpečnostné nástroje. Presnejším modelom je model mladšieho zamestnanca s rozsiahlym prístupom k systému, ale obmedzenou schopnosťou rozpoznať podozrivé správanie. Ďalšou užitočnou perspektívou je vnímať ich ako overených vykonávateľov, ktorí inherentne dôverujú informáciám, ktoré prijímajú.

Súčasné opatrenia na zmiernenie sa zameriavajú na záplaty, ochranné zábrany a kontroly prístupu. Širšia výzva však zostáva nevyriešená. Agent umelej inteligencie schopný čítať e-maily, vykonávať úlohy a konať samostatne musí byť zámerne dôveryhodný vstupom a snažiť sa pomáhať používateľom. Komunita kybernetickej bezpečnosti zatiaľ nevyvinula univerzálne riešenie tohto základného napätia.

Procesor platieb spoločnosti EnigmaSoft Digital River GmbH Vyhlásenie bankrotu nemá vplyv na ochranu zákazníkov SpyHunter proti škodlivému softvéru

Vyhľadávanie

Zmeniť región

Útoky zneužívajú agenta AI OpenClaw

Neviditeľné príkazy skryté na očiach

Vzostup phishingu agentov

Ako sociálne inžinierstvo porazilo bezpečnostné kontroly

Jedna hlavná príčina, viacero ciest útoku

Rastúce obavy týkajúce sa širokých oprávnení agentov

Vytváranie bezpečnejších nasadení agentov umelej inteligencie

Nevyriešená výzva autonómnej dôvery

Odoslať komentár

Trendy

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Najviac videné

Eporner.com

Fuq.com

XHAMSTER Ransomware