Напади искоришћавају OpenClaw AI агента
Недавна истраживања безбедности открила су да се OpenClaw, широко коришћена платформа за самостално хостоване вештачке интелигенције, може манипулисати тако да извршава акције које контролише нападач или открива осетљиве информације путем наизглед безопасних уноса.
У одвојеним истраживањима, истраживачи су демонстрирали две различите методе напада. Једна се ослањала на уграђивање скривених инструкција унутар дељених контаката, vCards и ознака локације. Друга је користила пажљиво креиране фишинг имејлове како би убедила вештачку интелигенцију да открије осетљиве пословне информације.
Иако је OpenClaw решио једну од ових рањивости у верзији 2026.4.23, шири проблем остаје непромењен: АИ агенти који верују долазним информацијама могу постати моћни алати за нападаче.
Преглед садржаја
Невидљиве команде скривене на видном месту
Први напад је био усмерен на начин на који OpenClaw обрађује одређене објекте порука пре него што их пошаље основном великом језичком моделу (LLM).
За разлику од веб садржаја, који је јасно означен као непоуздан пре него што стигне до модела, записи контаката, vCards и ознаке локација су уметани директно у упите без икакве назнаке да потичу из непоузданих извора. Ово је створило могућност за убризгавање упита.
Напад је искористио начин на који је OpenClaw серијализовао контакт информације. Дељени контакти су конвертовани у једноставан формат који садржи само име и број телефона. Пошто су знакови попут угаоних заграда дозвољени унутар имена контаката, нападачи су могли да уграде злонамерне инструкције које су изгледале као део контакт информација. Поред тога, имена контаката се често скраћују у апликацијама за размену порука, што спречава жртве да виде скривени садржај.
Иста техника се показала ефикасном кроз поља за пуно име и презиме у vCard формату и ознаке дељених локација. Током тестирања са прегледним верзијама Gemini 3.1 Pro, скривене инструкције су успешно убедиле агента да преузме и изврши код са сервера којим управља истраживач. Занимљиво је да покушаји скривања инструкција унутар слика нису успели, вероватно зато што су модерни модели вештачке интелигенције прошли опсежну обуку за нападе убризгавањем промпта засноване на сликама. Међутим, напади на објекте порука остају мање познати тренутним моделима.
Истраживачи су упозорили да би подразумевана функционалност меморије OpenClaw-а могла да појача претњу. Један злонамерни контакт или дељени објекат који се дистрибуира на великој широј површини могао би потенцијално да угрози бројне агенте ако недостају одговарајуће контроле „песчаника“.
Након одговорног објављивања информација, OpenClaw је објавио верзију 2026.4.23, која одваја имена контаката, vCard поља и ознаке локација од садржаја упита тако што их смешта у посебан непоуздан канал за метаподатке. Истраживачи су такође приметили да су се слични обрасци дизајна појавили и код других личних вештачких асистената, што указује на изазов на нивоу целе индустрије, а не на проблем специфичан за платформу.
Успон агентског фишинга
Други истраживачки пројекат је приступио проблему из другачијег угла: социјалног инжењеринга.
Истраживачи су направили тест агента под називом Pinchy и повезали га са Gmail пријемним сандучетом попуњеним реалистичним, али синтетичким пословним комуникацијама и лажним осетљивим подацима. Тим је затим спровео четири симулације фишинга користећи Google Gemini 3.1 Pro и OpenAI Codex GPT-5.4.
Студија је направила разлику између традиционалног брзог убризгавања и онога што су истраживачи описали као „фишинг агента“. Док брзо убризгавање крије злонамерне инструкције унутар података, фишинг агента се ослања на веродостојне захтеве достављене путем легитимних комуникационих канала. Напад је успешан јер агент делује пре него што адекватно провери идентитет пошиљаоца.
Како је друштвени инжењеринг победио безбедносне контроле
Симулације фишинга су дале забрињавајуће резултате. Упркос деловању по строгим упутствима за проверу идентитета пошиљаоца, агент није успео у два сценарија крађе података:
Лажна е-пошта у којој се лажно представљао вођа тима захтевала је приступ за припрему података током лажног инцидента у производњи. Агент је лоцирао и проследио лажне AWS IAM акредитиве, низове за повезивање са базом података и SSH акредитиве у обичном тексту.
У другој е-пошти је захтеван рутински недељни извоз података о клијентима за наводну кварталну презентацију прегледа пословања. Агент је послао синтетичку базу података која садржи информације о 247 пословних клијената, укључујући контакте и вредности уговора.
Агент је показао знатно боље резултате када се суочио са техничким нападима. Препознао је сумњиве фишинг веб странице, избегавао откривање легитимних акредитива и на крају је означио злонамерне активности. Под строжим подешавањима, приступ фишинг страницама је био потпуно блокиран. Када му је приказан лажни екран за сагласност за OAuth прерушен у апликацију за евиденцију радног времена, агент је анализирао одредиште преусмеравања, утврдио да је сумњиво и одбио да одобри дозволе.
Истраживачи су закључили да агент често надмашује људе у идентификовању злонамерних URL-ова и лажних портала за пријаву. Међутим, имао је проблема са контекстуалном друштвеном проценом, посебно када су захтеви изгледали као да долазе од поузданих колега. Управо карактеристика која чини вештачку интелигенцију асистенте корисним, жеља да буду од помоћи, такође ствара значајну површину за напад.
Иако је OpenAI Codex GPT-5.4 показао већи опрез од Gemini 3.1 Pro при интеракцији са спољним сајтовима или преносу информација, оба система су на крају постала жртве сценарија социјалног инжењеринга.
Један основни узрок, вишеструки путеви напада
Упркос коришћењу различитих техника, оба напада су искористила исте основне могућности:
- Приступ приватним информацијама.
Када ове могућности коегзистирају без довољних контрола, злонамерна контакт картица и убедљива фишинг е-пошта могу произвести исти исход: неовлашћени приступ осетљивим подацима.
Додатна истраживања открила су сличне проблеме са границама поверења унутар екосистема OpenClaw-а. Претварањем претходних безбедносних савета у правила статичке анализе, истраживачи су идентификовали пет додатних рањивости које утичу на интеграције са Slack, Discord, Matrix, Zalo и Microsoft Teams.
Свака рањивост је проистекла из исте грешке у дизајну. Проширења канала су се ослањала на променљива имена за приказивање, а не на трајне идентификаторе приликом процене дозвољених листа. Нападач је стога могао да преименује налог како би одговарао одобреном кориснику и стекне утицај на агента. OpenClaw је од тада исправио све идентификоване проблеме.
Растућа забринутост око широких дозвола агената
Од свог лансирања, OpenClaw је привукао пажњу због својих широких дозвола. Платформа пружа приступ локалним датотекама, окружењима shell-а и више од двадесет платформи за размену порука, што је чини веома способном, али и веома изложеном ризику.
Забринутост је постала толико значајна да је холандски орган за заштиту података, Autoriteit Persoonsgegevens, саветовао појединцима и организацијама да не користе OpenClaw на системима који садрже осетљиве информације. Орган је навео ризике, укључујући кршење података и компромитовање налога.
Изградња безбеднијих имплементација вештачке интелигенције (AI) агената
Организације које користе OpenClaw требало би одмах да надограде на верзију 2026.4.23 или новију како би решиле рањивост објекта поруке. Међутим, поред закрпа, дугорочна заштита зависи од архитектонских контрола, а не од брзог инжењеринга.
Стручњаци за безбедност препоручују третирање датотека са упутствима агента као применљивих политика са контролисаним верзијама, уместо саветодавних смерница. Одлазне комуникације треба да захтевају одобрење пре него што се поруке пошаљу непознатим примаоцима, смањујући вероватноћу да угрожени агенти шире нападе путем поузданих налога. Дозволе за приступ такође треба да буду повезане са поузданошћу извора који их окида, осигуравајући да агенти који обрађују спољне комуникације не могу аутоматски да приступе системима високе вредности као што су платформе за управљање односима са клијентима. Радње високог ризика, укључујући дељење акредитива и финансијске трансакције, треба да остану подложне људском одобрењу.
Нерешени изазов аутономног поверења
Оба истраживачка тима су на крају дошла до истог закључка: Агенте вештачке интелигенције не треба посматрати као безбедносне алате. Прецизнији модел је модел млађег запосленог са широким приступом систему, али ограниченом способношћу препознавања сумњивог понашања. Још једна корисна перспектива је да се они посматрају као аутентификовани извршиоци који инхерентно верују информацијама које примају.
Тренутне мере за ублажавање проблема фокусирају се на закрпе, заштитне ограде и контроле приступа. Па ипак, шири изазов остаје нерешен. Агент вештачке интелигенције способан да чита имејлове, извршава задатке и делује самостално мора, по својој природи, да верује улазним подацима и да покушава да помогне корисницима. Заједница сајбер безбедности још увек није развила универзално решење за ту фундаменталну напетост.
