Napadi izkoriščajo agenta umetne inteligence OpenClaw

Do leta Mezo leta Lažno predstavljanje

Prevedi v:

Nedavne varnostne raziskave so pokazale, da je mogoče OpenClaw, široko uporabljeno platformo za samostojno gostovanje agentov umetne inteligence, z manipulacijami prisiliti k izvajanju dejanj, ki jih nadzoruje napadalec, ali razkrivanju občutljivih informacij z na videz neškodljivimi vnosi.

V ločenih preiskavah so raziskovalci predstavili dve različni metodi napada. Ena se je zanašala na vdelavo skritih navodil v skupne stike, vCards in lokacijske oznake. Druga je uporabila skrbno oblikovana lažna e-poštna sporočila, da bi prepričala agenta umetne inteligence, da razkrije občutljive poslovne podatke.

Čeprav je OpenClaw v različici 2026.4.23 odpravil eno od teh ranljivosti, ostaja širša težava nespremenjena: agenti umetne inteligence, ki zaupajo vhodnim informacijam, lahko postanejo močna orodja za napadalce.

Kazalo

Nevidni ukazi, skriti na očeh vseh

Prvi napad je bil usmerjen v to, kako OpenClaw obdeluje določene objekte sporočil, preden jih pošlje osnovnemu velikemu jezikovnemu modelu (LLM).

Za razliko od spletne vsebine, ki je jasno označena kot nezaupanja vredna, še preden doseže model, so bili zapisi stikov, vCards in oznake lokacij vstavljeni neposredno v pozive brez kakršne koli navedbe, da izvirajo iz nezaupanja vrednih virov. To je ustvarilo priložnost za vbrizgavanje pozivov.

Napad je izkoristil način, kako je OpenClaw serializiral kontaktne podatke. Deljeni stiki so bili pretvorjeni v preprosto obliko, ki je vsebovala le ime in telefonsko številko. Ker so v imenih stikov dovoljeni znaki, kot so kotni oklepaji, so lahko napadalci vdelali zlonamerna navodila, ki so bila videti kot del kontaktnih podatkov. Poleg tega so imena stikov v aplikacijah za sporočanje pogosto skrajšana, kar žrtvam preprečuje, da bi videle skrite podatke.

Ista tehnika se je izkazala za učinkovito tudi pri poljih s polnim imenom vCard in oznakah lokacij v skupni rabi. Med testiranjem s predoglednimi različicami Gemini 3.1 Pro so skrita navodila uspešno prepričala agenta, da prenese in izvede kodo s strežnika, ki ga nadzorujejo raziskovalci. Zanimivo je, da poskusi skrivanja navodil znotraj slik niso bili uspešni, verjetno zato, ker so sodobni modeli umetne inteligence deležni obsežnega usposabljanja za napade z vbrizgavanjem pozivov na podlagi slik. Napadi s sporočilnimi objekti pa ostajajo manj znani trenutnim modelom.

Raziskovalci so opozorili, da bi lahko privzeta funkcionalnost pomnilnika OpenClawa okrepila grožnjo. En sam zlonamerni stik ali deljeni objekt, ki je široko razširjen, bi lahko ogrozil številne agente, če ni ustreznih kontrol v peskovniku.

Po odgovornem razkritju je OpenClaw izdal različico 2026.4.23, ki ločuje imena stikov, polja vCard in oznake lokacij od vsebine poziva, tako da jih postavi v namenski nezaupanja vreden kanal metapodatkov. Raziskovalci so tudi ugotovili, da so se podobni vzorci oblikovanja pojavili tudi pri drugih osebnih pomočnikih z umetno inteligenco, kar kaže na izziv celotne panoge in ne na težavo, specifično za platformo.

Vzpon lažnega predstavljanja agentov

Drugi raziskovalni projekt se je problema lotil z drugačnega zornega kota: socialnega inženiringa.

Raziskovalci so zgradili testnega agenta z imenom Pinchy in ga povezali z nabiralnikom v Gmailu, ki je bil poln realističnih, a sintetičnih poslovnih sporočil in lažno občutljivih podatkov. Ekipa je nato izvedla štiri simulacije lažnega predstavljanja z uporabo Google Gemini 3.1 Pro in OpenAI Codex GPT-5.4.

Študija je razlikovala med tradicionalnim takojšnjim vbrizgavanjem in tem, kar so raziskovalci opisali kot »agent phishing«. Medtem ko takojšnje vbrizgavanje skriva zlonamerna navodila znotraj podatkov, se agent phishing zanaša na verodostojne zahteve, poslane prek legitimnih komunikacijskih kanalov. Napad uspe, ker agent ukrepa, preden ustrezno preveri identiteto pošiljatelja.

Kako je socialni inženiring premagal varnostne kontrole

Simulacije lažnega predstavljanja so dale zaskrbljujoče rezultate. Kljub temu, da je agent deloval po strogih navodilih za preverjanje identitete pošiljatelja, ni uspel pri dveh scenarijih kraje podatkov:

Goljufivo e-poštno sporočilo, v katerem se je izdajal vodja ekipe, je zahtevalo dostop do začasne zaščite med izmišljenim produkcijskim incidentom. Agent je našel in posredoval lažne poverilnice AWS IAM, nize za povezavo z bazo podatkov in poverilnice SSH v obliki navadnega besedila.

V drugem e-poštnem sporočilu je bila zahteva za rutinski tedenski izvoz strank za domnevno četrtletno predstavitev poslovnega pregleda. Agent je posredoval sintetično bazo podatkov, ki je vsebovala podatke o 247 poslovnih strankah, vključno s stiki in vrednostjo pogodb.

Agent se je bistveno bolje odrezal pri soočanju s tehničnimi napadi. Prepoznal je sumljiva spletna mesta za lažno predstavljanje, se izognil razkritju legitimnih poverilnic in sčasoma označil zlonamerno dejavnost. Pri strožjih nastavitvah je bil dostop do strani za lažno predstavljanje popolnoma blokiran. Ko se mu je prikazal goljufiv zaslon za soglasje OAuth, prikrit kot aplikacija za pregled delovnega časa, je agent analiziral cilj preusmeritve, ugotovil, da je sumljiv, in zavrnil podelitev dovoljenj.

Raziskovalci so ugotovili, da je agent pogosto prekosil ljudi pri prepoznavanju zlonamernih URL-jev in lažnih prijavnih portalov. Vendar pa se je težko spopadel s kontekstualno socialno presojo, zlasti ko so se zahteve zdele prišle od zaupanja vrednih kolegov. Prav značilnost, zaradi katere so pomočniki z umetno inteligenco uporabni, želja po pomoči, ustvarja tudi pomembno površino za napad.

Čeprav je OpenAI Codex GPT-5.4 pokazal večjo previdnost kot Gemini 3.1 Pro pri interakciji z zunanjimi spletnimi mesti ali prenosu informacij, sta oba sistema na koncu postala žrtev scenarijev socialnega inženiringa.

En temeljni vzrok, več poti napada

Kljub uporabi različnih tehnik sta oba napada izkoristila iste temeljne zmogljivosti:

Dostop do zasebnih podatkov.

Zmožnost obdelave nezanesljive vsebine.

Dovoljenje za pošiljanje informacij navzven.

Ko te zmogljivosti sobivajo brez zadostnega nadzora, lahko zlonamerna vizitka in prepričljivo lažno e-poštno sporočilo povzročita enak rezultat: nepooblaščen dostop do občutljivih podatkov.

Dodatne raziskave so odkrile podobne težave z mejami zaupanja znotraj ekosistema OpenClaw. Z pretvorbo prejšnjih varnostnih opozoril v pravila statične analize so raziskovalci odkrili pet nadaljnjih ranljivosti, ki vplivajo na integracije s Slackom, Discordom, Matrixom, Zalom in Microsoft Teamsom.

Vsaka ranljivost je izhajala iz iste napake v zasnovi. Razširitve kanalov so se pri ocenjevanju seznamov dovoljenih zanašale na spremenljiva prikazna imena in ne na trajne identifikatorje. Napadalec bi tako lahko preimenoval račun, da bi se ujemal z odobrenim uporabnikom, in pridobil vpliv na agenta. OpenClaw je od takrat odpravil vse ugotovljene težave.

Naraščajoča zaskrbljenost glede širokih dovoljenj agentov

OpenClaw je že od svoje predstavitve pritegnil pozornost zaradi svojih obsežnih dovoljenj. Platforma omogoča dostop do lokalnih datotek, lupinskih okolij in več kot dvajsetih platform za sporočanje, zaradi česar je zelo zmogljiva, a tudi zelo izpostavljena.

Zaskrbljenost je postala tako velika, da je nizozemski organ za varstvo podatkov, Autoriteit Persoonsgegevens, posameznikom in organizacijam odsvetoval uporabo OpenClawa v sistemih, ki vsebujejo občutljive podatke. Organ je navedel tveganja, vključno z kršitvami varnosti podatkov in ogrožanjem računov.

Gradnja varnejših uvedb agentov umetne inteligence

Organizacije, ki uporabljajo OpenClaw, bi morale nemudoma nadgraditi na različico 2026.4.23 ali novejšo, da bi odpravile ranljivost objektov sporočil. Poleg nameščanja popravkov pa je dolgoročna zaščita odvisna od arhitekturnih kontrol in ne od hitrega inženiringa.

Varnostni strokovnjaki priporočajo, da se datoteke z navodili agentov obravnavajo kot izvršljive politike z nadzorom različic in ne kot svetovalni napotki. Odhodna komunikacija bi morala zahtevati odobritev, preden se sporočila pošljejo neznanim prejemnikom, kar zmanjša verjetnost, da bi ogroženi agenti širili napade prek zaupanja vrednih računov. Dovoljenja za dostop bi morala biti povezana tudi z zaupanja vrednim virom sprožilca, s čimer se zagotovi, da agenti, ki obdelujejo zunanje komunikacije, ne morejo samodejno dostopati do sistemov z visoko vrednostjo, kot so platforme za upravljanje odnosov s strankami. Dejanja z visokim tveganjem, vključno z deljenjem poverilnic in finančnimi transakcijami, bi morala ostati predmet človeške odobritve.

Nerešen izziv avtonomnega zaupanja

Obe raziskovalni skupini sta na koncu prišli do istega zaključka: agentov umetne inteligence ne bi smeli obravnavati kot varnostnih orodij. Natančnejši model je model mlajšega zaposlenega z obsežnim dostopom do sistema, vendar omejeno sposobnostjo prepoznavanja sumljivega vedenja. Druga uporabna perspektiva je, da jih obravnavamo kot overjene izvajalce, ki sami po sebi zaupajo informacijam, ki jih prejmejo.

Trenutni ukrepi za ublažitev se osredotočajo na popravke, zaščitne ograje in nadzor dostopa. Vendar širši izziv ostaja nerešen. Agent umetne inteligence, ki je sposoben brati e-pošto, izvajati naloge in delovati samostojno, mora že po zasnovi zaupati vhodnim informacijam in poskušati pomagati uporabnikom. Skupnost za kibernetsko varnost še ni razvila univerzalne rešitve za to temeljno napetost.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo

Napadi izkoriščajo agenta umetne inteligence OpenClaw

Nevidni ukazi, skriti na očeh vseh

Vzpon lažnega predstavljanja agentov

Kako je socialni inženiring premagal varnostne kontrole

En temeljni vzrok, več poti napada

Naraščajoča zaskrbljenost glede širokih dovoljenj agentov

Gradnja varnejših uvedb agentov umetne inteligence

Nerešen izziv avtonomnega zaupanja

Pošlji komentar

V trendu

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Najbolj gledan

Eporner.com

Fuq.com

XHAMSTER Ransomware