Sulmet shfrytëzojnë agjentin AI të OpenClaw
Hulumtimet e fundit të sigurisë kanë zbuluar se OpenClaw, një platformë agjentësh të inteligjencës artificiale e vetë-strehuar që përdoret gjerësisht, mund të manipulohet për të ekzekutuar veprime të kontrolluara nga sulmuesi ose për të zbuluar informacione të ndjeshme përmes të dhënave në dukje të padëmshme.
Në hetime të ndara, studiuesit demonstruan dy metoda të dallueshme sulmi. Njëra mbështetej në ngulitjen e udhëzimeve të fshehura brenda kontakteve të përbashkëta, vCard-eve dhe kodeve të vendndodhjes. Tjetra përdorte email-e phishing të hartuara me kujdes për të bindur një agjent të inteligjencës artificiale të zbulonte informacione të ndjeshme biznesi.
Ndërsa OpenClaw ka adresuar një nga këto dobësi në versionin 2026.4.23, çështja më e gjerë mbetet e pandryshuar: Agjentët e inteligjencës artificiale që i besojnë informacionit hyrës mund të bëhen mjete të fuqishme për sulmuesit.
Tabela e Përmbajtjes
Komanda të padukshme të fshehura në sy të thjeshtë
Sulmi i parë kishte në shënjestër mënyrën se si OpenClaw përpunon objekte të caktuara të mesazheve përpara se t'i dërgojë ato në modelin themelor të gjuhës së madhe (LLM).
Ndryshe nga përmbajtja e uebit, e cila është shënuar qartë si e pabesueshme përpara se të arrijë në model, të dhënat e kontakteve, vCard-et dhe etiketat e vendndodhjes u futën direkt në kërkesa pa asnjë tregues se ato kishin origjinën nga burime të pabesueshme. Kjo krijoi një mundësi për injeksion të shpejtë.
Sulmi shfrytëzoi mënyrën se si OpenClaw serializoi informacionin e kontaktit. Kontaktet e përbashkëta u konvertuan në një format të thjeshtë që përmbante vetëm një emër dhe një numër telefoni. Meqenëse karaktere të tilla si kllapat këndore lejohen brenda emrave të kontakteve, sulmuesit mund të ngulisin udhëzime dashakeqe që dukeshin të ishin pjesë e informacionit të kontaktit. Përveç kësaj, emrat e kontakteve shpesh shkurtohen në aplikacionet e mesazheve, duke i penguar viktimat të shohin ngarkesën e fshehur.
E njëjta teknikë rezultoi efektive përmes fushave me emrin e plotë të vCard dhe etiketave të vendndodhjes së përbashkët. Gjatë testimit me versionet paraprake të Gemini 3.1 Pro, udhëzimet e fshehura e bindën me sukses agjentin të shkarkonte dhe ekzekutonte kodin nga një server i kontrolluar nga studiuesi. Është interesante se përpjekjet për të fshehur udhëzimet brenda imazheve dështuan, ndoshta sepse modelet moderne të IA-së kanë marrë trajnim të gjerë kundër sulmeve të injektimit të menjëhershëm të bazuara në imazhe. Megjithatë, sulmet ndaj objektit të mesazhit mbeten më pak të njohura për modelet aktuale.
Studiuesit paralajmëruan se funksionaliteti i memories së parazgjedhur të OpenClaw mund ta amplifikonte kërcënimin. Një kontakt i vetëm keqdashës ose një objekt i përbashkët i shpërndarë gjerësisht mund të kompromentojë agjentë të shumtë nëse mungojnë kontrollet e duhura të sandbox-it.
Pas deklarimit të përgjegjshëm, OpenClaw publikoi versionin 2026.4.23, i cili ndan emrat e kontakteve, fushat vCard dhe etiketat e vendndodhjes nga përmbajtja e meta-të dhënave duke i vendosur ato në një kanal të dedikuar të pabesueshëm të meta-të dhënave. Studiuesit vunë re gjithashtu se modele të ngjashme dizajni janë shfaqur në asistentë të tjerë personalë të IA-së, duke treguar një sfidë në të gjithë industrinë dhe jo një problem specifik të platformës.
Rritja e Phishing-ut të Agjentëve
Një projekt i dytë kërkimor iu afrua problemit nga një këndvështrim tjetër: inxhinieria sociale.
Studiuesit ndërtuan një agjent testimi të quajtur Pinchy dhe e lidhën atë me një kuti postare në Gmail të mbushur me komunikime biznesi realiste, por sintetike, dhe të dhëna të ndjeshme simuluese. Ekipi më pas kreu katër simulime phishing duke përdorur si Google Gemini 3.1 Pro ashtu edhe OpenAI Codex GPT-5.4.
Studimi bëri dallimin midis injektimit tradicional të menjëhershëm dhe asaj që studiuesit e përshkruan si 'agjent phishing'. Ndërsa injektimi i menjëhershëm fsheh udhëzime dashakeqe brenda të dhënave, agjenti phishing mbështetet në kërkesa të besueshme të dërguara përmes kanaleve legjitime të komunikimit. Sulmi ka sukses sepse agjenti vepron përpara se të verifikojë në mënyrë adekuate identitetin e dërguesit.
Si Inxhinieria Sociale i Mposhti Kontrollet e Sigurisë
Simulimet e phishing-ut dhanë rezultate shqetësuese. Pavarësisht se vepronte sipas udhëzimeve të rrepta për të verifikuar identitetet e dërguesve, agjenti dështoi në dy skenarë të nxjerrjes së të dhënave:
Një email mashtrues që imitonte një udhëheqës ekipi kërkonte akses në fazën e testimit gjatë një incidenti të sajuar prodhimi. Agjenti gjeti dhe përcolli kredencialet e rreme të AWS IAM, vargjet e lidhjes së bazës së të dhënave dhe kredencialet SSH në tekst të thjeshtë.
Një email i dytë kërkonte një eksport rutinë javor të klientëve për një prezantim të supozuar tremujor të rishikimit të biznesit. Agjenti transmetoi një bazë të dhënash sintetike që përmbante informacione mbi 247 klientë të ndërmarrjeve, duke përfshirë kontaktet dhe vlerat e kontratave.
Agjenti performoi dukshëm më mirë kur u përball me sulme teknike. Ai njohu faqet e internetit të dyshimta të phishing, shmangu ekspozimin e kredencialeve të ligjshme dhe përfundimisht raportoi aktivitetin keqdashës. Nën cilësime më të rrepta, qasja në faqet e phishing bllokohej plotësisht. Kur iu paraqit një ekran mashtrues i pëlqimit OAuth i maskuar si një aplikacion i fletës së kohës, agjenti analizoi destinacionin e ridrejtimit, përcaktoi se ishte i dyshimtë dhe refuzoi të jepte leje.
Studiuesit arritën në përfundimin se agjenti shpesh i tejkalonte njerëzit në identifikimin e URL-ve keqdashëse dhe portaleve të rreme të hyrjes. Megjithatë, ai luftoi me gjykimin shoqëror kontekstual, veçanërisht kur kërkesat dukeshin se vinin nga kolegë të besuar. Karakteristika që i bën asistentët e inteligjencës artificiale të dobishëm, dëshira për të qenë të dobishëm, krijon gjithashtu një sipërfaqe të konsiderueshme sulmi.
Edhe pse OpenAI Codex GPT-5.4 tregoi kujdes më të madh se Gemini 3.1 Pro kur bashkëvepronte me faqet e jashtme ose transmetonte informacion, të dy sistemet në fund të fundit ranë viktimë e skenarëve të inxhinierisë sociale.
Një Shkak Rrënjësor, Shtigje të Shumëfishta Sulmi
Pavarësisht përdorimit të teknikave të ndryshme, të dy sulmet shfrytëzuan të njëjtat aftësi themelore:
- Qasje në informacione private.
- Aftësia për të përpunuar përmbajtje të pabesueshme.
- Leja për të dërguar informacione nga jashtë.
Kur këto aftësi bashkëjetojnë pa kontrolle të mjaftueshme, një kartë kontakti keqdashëse dhe një email bindës phishing mund të prodhojnë të njëjtin rezultat: qasje të paautorizuar në të dhëna të ndjeshme.
Hulumtime të mëtejshme zbuluan probleme të ngjashme me kufijtë e besimit brenda ekosistemit të OpenClaw. Duke konvertuar këshillat e mëparshme të sigurisë në rregulla të analizës statike, studiuesit identifikuan pesë dobësi të mëtejshme që ndikojnë në integrimet me Slack, Discord, Matrix, Zalo dhe Microsoft Teams.
Çdo dobësi rrjedhte nga e njëjta e metë në dizajn. Zgjerimet e kanaleve mbështeteshin në emra të ndryshueshëm të shfaqjes në vend të identifikuesve të përhershëm gjatë vlerësimit të listave të lejimeve. Prandaj, një sulmues mund të riemërtonte një llogari që të përputhej me një përdorues të miratuar dhe të fitonte ndikim mbi agjentin. OpenClaw që atëherë ka rregulluar të gjitha problemet e identifikuara.
Shqetësime në rritje rreth lejeve të agjentëve të gjerë
Që nga lançimi i saj, OpenClaw ka tërhequr vëmendjen për shkak të lejeve të gjera që ofron. Platforma ofron qasje në skedarë lokalë, mjedise shell dhe më shumë se njëzet platforma mesazhesh, duke e bërë atë shumë të aftë, por edhe shumë të ekspozuar.
Shqetësimet janë bërë aq të mëdha saqë autoriteti holandez i mbrojtjes së të dhënave, Autoriteit Persoonsgegevens, i këshilloi individët dhe organizatat kundër vendosjes së OpenClaw në sisteme që përmbajnë informacione të ndjeshme. Autoriteti përmendi rreziqet duke përfshirë shkeljet e të dhënave dhe kompromentimin e llogarive.
Ndërtimi i Vendosjeve më të Sigurta të Agjentëve të IA-së
Organizatat që përdorin OpenClaw duhet të përditësohen menjëherë në versionin 2026.4.23 ose më të ri për të adresuar dobësinë e objektit të mesazhit. Megjithatë, përtej patch-eve, mbrojtja afatgjatë varet nga kontrollet arkitekturore dhe jo nga inxhinieria e shpejtë.
Specialistët e sigurisë rekomandojnë trajtimin e skedarëve të udhëzimeve të agjentëve si politika të zbatueshme, të kontrolluara nga versioni, në vend të udhëzimeve këshilluese. Komunikimet dalëse duhet të kërkojnë miratim përpara se mesazhet t'u dërgohen marrësve të panjohur, duke zvogëluar mundësinë që agjentët e kompromentuar të përhapin sulme përmes llogarive të besueshme. Lejet e aksesit duhet të lidhen gjithashtu me besueshmërinë e burimit shkaktar, duke siguruar që agjentët që përpunojnë komunikime të jashtme nuk mund të hyjnë automatikisht në sisteme me vlerë të lartë, siç janë platformat e menaxhimit të marrëdhënieve me klientët. Veprimet me rrezik të lartë, duke përfshirë ndarjen e kredencialeve dhe transaksionet financiare, duhet të mbeten subjekt i miratimit njerëzor.
Sfida e pazgjidhur e Besimit Autonom
Të dy ekipet kërkimore arritën në fund të fundit në të njëjtin përfundim: Agjentët e inteligjencës artificiale nuk duhet të shihen si mjete sigurie. Një model më i saktë është ai i një punonjësi të ri me akses të gjerë në sistem, por aftësi të kufizuar për të njohur sjellje të dyshimta. Një perspektivë tjetër e dobishme është t'i shohim ata si ekzekutorë të autentifikuar që në thelb i besojnë informacionit që marrin.
Masat zbutëse aktuale përqendrohen në patch-e, parmakë mbrojtës dhe kontrolle të aksesit. Megjithatë, sfida më e gjerë mbetet e pazgjidhur. Një agjent i inteligjencës artificiale i aftë të lexojë email-e, të ekzekutojë detyra dhe të veprojë në mënyrë të pavarur duhet, me vetë projektimin, t'u besojë të dhënave hyrëse dhe të përpiqet të ndihmojë përdoruesit. Komuniteti i sigurisë kibernetike nuk ka zhvilluar ende një zgjidhje universale për këtë tension themelor.
