Attacker som utnyttjar OpenClaw AI-agenten

Med Mezo år Nätfiske

Översätt till:

Nyligen genomförd säkerhetsforskning har visat att OpenClaw, en allmänt använd självhostad AI-agentplattform, kan manipuleras till att utföra angriparstyrda åtgärder eller avslöja känslig information genom till synes ofarliga inmatningar.

I separata undersökningar demonstrerade forskare två distinkta attackmetoder. Den ena förlitade sig på att bädda in dolda instruktioner i delade kontakter, vCards och platskods. Den andra använde noggrant utformade nätfiskemejl för att övertyga en AI-agent att läcka känslig affärsinformation.

Även om OpenClaw har åtgärdat en av dessa sårbarheter i version 2026.4.23, förblir det bredare problemet oförändrat: AI-agenter som litar på inkommande information kan bli kraftfulla verktyg för angripare.

Innehållsförteckning

Osynliga kommandon dolda i vanlig syn

Den första attacken riktade sig mot hur OpenClaw bearbetar vissa meddelandeobjekt innan de skickas till den underliggande stora språkmodellen (LLM).

Till skillnad från webbinnehåll, som tydligt markeras som otillförlitligt innan det når modellen, infogades kontaktposter, vCard-kort och platsetiketter direkt i prompter utan någon indikation på att de kom från otillförlitliga källor. Detta skapade en möjlighet till snabb inmatning.

Attacken utnyttjade hur OpenClaw serialiserade kontaktinformation. Delade kontakter konverterades till ett enkelt format som endast innehöll ett namn och telefonnummer. Eftersom tecken som vinkelparenteser är tillåtna i kontaktnamn kunde angripare bädda in skadliga instruktioner som verkade vara en del av kontaktinformationen. Dessutom avkortas kontaktnamn ofta i meddelandeprogram, vilket hindrar offren från att se den dolda nyttolasten.

Samma teknik visade sig effektiv genom vCard-fält med fullständiga namn och delade platsetiketter. Under tester med Gemini 3.1 Pro-förhandsversioner lyckades dolda instruktioner övertala agenten att ladda ner och exekvera kod från en forskarstyrd server. Intressant nog misslyckades försök att dölja instruktioner i bilder, troligen för att moderna AI-modeller har fått omfattande utbildning mot bildbaserade promptinjektionsattacker. Meddelandeobjektattacker är dock fortfarande mindre bekanta med nuvarande modeller.

Forskare varnade för att OpenClaws standardminnesfunktionalitet kunde förstärka hotet. En enda skadlig kontakt eller ett delat objekt som distribueras brett kan potentiellt kompromettera flera agenter om korrekta sandlådekontroller saknas.

Efter ansvarsfullt avslöjande släppte OpenClaw version 2026.4.23, som separerar kontaktnamn, vCard-fält och platsetiketter från promptinnehåll genom att placera dem i en dedikerad, opålitlig metadatakanal. Forskare noterade också att liknande designmönster har dykt upp i andra personliga AI-assistenter, vilket tyder på en branschomfattande utmaning snarare än ett plattformsspecifikt problem.

Agentnätfiskets uppgång

Ett andra forskningsprojekt närmade sig problemet från en annan vinkel: social ingenjörskonst.

Forskarna byggde en testagent vid namn Pinchy och kopplade den till en Gmail-inkorg fylld med realistisk men syntetisk affärskommunikation och simulerad känslig data. Teamet genomförde sedan fyra nätfiskesimuleringar med både Google Gemini 3.1 Pro och OpenAI Codex GPT-5.4.

Studien skilde mellan traditionell snabbinjektion och vad forskare beskrev som "agentfiske". Medan snabbinjektion döljer skadliga instruktioner inuti data, förlitar sig agentfiske på trovärdiga förfrågningar som levereras via legitima kommunikationskanaler. Attacken lyckas eftersom agenten agerar innan avsändarens identitet verifierats på ett adekvat sätt.

Hur social ingenjörskonst besegrade säkerhetskontroller

Nätfiskesimuleringarna gav oroande resultat. Trots att agenten arbetade under strikta instruktioner för att verifiera avsändaridentiteter misslyckades de med två scenarier för dataexfiltrering:

Ett bedrägligt e-postmeddelande som utgav sig för att vara en teamledare begärde åtkomst till mellanlagring under en påhittad produktionsincident. Agenten lokaliserade och vidarebefordrade falska AWS IAM-inloggningsuppgifter, databasanslutningssträngar och SSH-inloggningsuppgifter i klartext.

Ett andra e-postmeddelande begärde en rutinmässig veckovis kundexport för en förmodad kvartalsvis affärsöversiktspresentation. Agenten överförde en syntetisk databas innehållande information om 247 företagskunder, inklusive kontakter och kontraktsvärden.

Agenten presterade betydligt bättre vid tekniska attacker. Den kände igen misstänkta nätfiskewebbplatser, undvek att exponera legitima inloggningsuppgifter och flaggade så småningom skadlig aktivitet. Under striktare inställningar blockerades åtkomst till nätfiskesidor helt. När agenten presenterades med en bedräglig OAuth-samtyckesskärm förklädd till en tidrapporteringsapplikation analyserade den omdirigeringsdestinationen, fastställde att den var misstänkt och vägrade att bevilja behörigheter.

Forskarna drog slutsatsen att agenten ofta presterade bättre än människor när det gällde att identifiera skadliga webbadresser och falska inloggningsportaler. Den hade dock problem med kontextuell social bedömning, särskilt när förfrågningar verkade komma från betrodda kollegor. Just den egenskap som gör AI-assistenter användbara, önskan att vara hjälpsam, skapar också en betydande attackyta.

Även om OpenAI Codex GPT-5.4 visade större försiktighet än Gemini 3.1 Pro vid interaktion med externa webbplatser eller överföring av information, föll båda systemen slutligen offer för social ingenjörskonst.

En grundorsak, flera attackvägar

Trots att olika tekniker användes utnyttjade båda attackerna samma grundläggande funktioner:

Tillgång till privat information.

Möjligheten att bearbeta otillförlitligt innehåll.

Tillstånd att skicka information externt.

När dessa funktioner samexisterar utan tillräckliga kontroller kan ett skadligt kontaktkort och ett övertygande nätfiskemejl ge samma resultat: obehörig åtkomst till känsliga uppgifter.

Ytterligare forskning avslöjade liknande problem med förtroendegränser inom OpenClaws ekosystem. Genom att omvandla tidigare säkerhetsrekommendationer till regler för statisk analys identifierade forskare ytterligare fem sårbarheter som påverkar integrationer med Slack, Discord, Matrix, Zalo och Microsoft Teams.

Varje sårbarhet härrörde från samma designfel. Kanaltillägg förlitade sig på föränderliga visningsnamn snarare än permanenta identifierare vid utvärdering av tillåtelselistor. En angripare kunde därför byta namn på ett konto för att matcha en godkänd användare och få inflytande över agenten. OpenClaw har sedan dess åtgärdat alla identifierade problem.

Växande oro kring breda agentbehörigheter

Sedan lanseringen har OpenClaw uppmärksammats på grund av sina omfattande behörigheter. Plattformen ger åtkomst till lokala filer, skalmiljöer och mer än tjugo meddelandeplattformar, vilket gör den mycket kapabel men också mycket exponerad.

Oron har blivit så stora att den nederländska dataskyddsmyndigheten, Autoriteit Persoonsgegevens, avrådde individer och organisationer från att använda OpenClaw på system som innehåller känslig information. Myndigheten nämnde risker inklusive dataintrång och kontokompromettering.

Bygga säkrare implementeringar av AI-agenter

Organisationer som använder OpenClaw bör omedelbart uppgradera till version 2026.4.23 eller senare för att åtgärda sårbarheten i meddelandeobjektet. Utöver patchning är dock långsiktigt skydd beroende av arkitektoniska kontroller snarare än snabb ingenjörskonst.

Säkerhetsspecialister rekommenderar att agentinstruktionsfiler behandlas som verkställbara, versionskontrollerade policyer istället för rådgivande vägledning. Utgående kommunikation bör kräva godkännande innan meddelanden skickas till okända mottagare, vilket minskar sannolikheten för att komprometterade agenter sprider attacker via betrodda konton. Åtkomstbehörigheter bör också vara knutna till den utlösande källans tillförlitlighet, vilket säkerställer att agenter som bearbetar extern kommunikation inte automatiskt kan få åtkomst till värdefulla system som plattformar för kundrelationshantering. Högriskåtgärder, inklusive delning av autentiseringsuppgifter och finansiella transaktioner, bör förbli föremål för mänskligt godkännande.

Den olösta utmaningen med autonomt förtroende

Båda forskargrupperna kom slutligen fram till samma slutsats: AI-agenter bör inte ses som säkerhetsverktyg. En mer exakt modell är en junioranställd med omfattande systemåtkomst men begränsad förmåga att känna igen misstänkt beteende. Ett annat användbart perspektiv är att se dem som autentiserade utförare som i sig litar på den information de får.

Nuvarande åtgärder fokuserar på patchar, skyddsräcken och åtkomstkontroller. Ändå är den bredare utmaningen fortfarande olöst. En AI-agent som kan läsa e-postmeddelanden, utföra uppgifter och agera självständigt måste, av sig själv, lita på input och försöka hjälpa användare. Cybersäkerhetsgemenskapen har ännu inte utvecklat en universell lösning på den grundläggande spänningen.

EnigmaSofts betalningsprocessor Digital River GmbH ansöker om konkurs påverkar inte SpyHunter-kundernas skydd mot skadlig programvara

Sök

Ändra region

Attacker som utnyttjar OpenClaw AI-agenten

Osynliga kommandon dolda i vanlig syn

Agentnätfiskets uppgång

Hur social ingenjörskonst besegrade säkerhetskontroller

En grundorsak, flera attackvägar

Växande oro kring breda agentbehörigheter

Bygga säkrare implementeringar av AI-agenter

Den olösta utmaningen med autonomt förtroende

skicka kommentar

Trendigt

Panaptor.co.in

Aibrowseruodate.com

ExploreOpenWin

Mest sedda

Hur du åtgärdar "Skrivardrivrutinen är inte...

Discord visar svart skärm när skärmen delas

Eporner.com