ఓపెన్‌క్లా AI ఏజెంట్‌ను దుర్వినియోగం చేసే దాడులు

ఇటీవలి భద్రతా పరిశోధనలో వెల్లడైన దాని ప్రకారం, విస్తృతంగా ఉపయోగించబడుతున్న సెల్ఫ్-హోస్టెడ్ AI ఏజెంట్ ప్లాట్‌ఫారమ్ అయిన ఓపెన్‌క్లాను, పైకి నిరపాయకరంగా కనిపించే ఇన్‌పుట్‌ల ద్వారా కూడా తారుమారు చేసి, దాడి చేసేవారి నియంత్రణలో ఉండే చర్యలను అమలు చేయించవచ్చు లేదా సున్నితమైన సమాచారాన్ని బహిర్గతం చేయించవచ్చు.

వేర్వేరు పరిశోధనలలో, పరిశోధకులు రెండు విభిన్న దాడి పద్ధతులను ప్రదర్శించారు. వాటిలో ఒకటి, షేర్డ్ కాంటాక్ట్‌లు, vCards మరియు లొకేషన్ పిన్‌ల లోపల రహస్య సూచనలను పొందుపరచడంపై ఆధారపడింది. మరొకటి, సున్నితమైన వ్యాపార సమాచారాన్ని లీక్ చేసేలా ఒక AI ఏజెంట్‌ను ఒప్పించడానికి, జాగ్రత్తగా రూపొందించిన ఫిషింగ్ ఈమెయిల్‌లను ఉపయోగించింది.

OpenClaw వెర్షన్ 2026.4.23లో ఈ లోపాలలో ఒకదానిని పరిష్కరించినప్పటికీ, ప్రధాన సమస్యలో ఎలాంటి మార్పు లేదు: వచ్చే సమాచారాన్ని విశ్వసించే AI ఏజెంట్లు దాడి చేసేవారికి శక్తివంతమైన సాధనాలుగా మారగలవు.

కళ్లెదుటే దాగివున్న అదృశ్య ఆదేశాలు

అంతర్లీన లార్జ్ లాంగ్వేజ్ మోడల్ (LLM)కు పంపే ముందు, ఓపెన్‌క్లా కొన్ని మెసేజ్ ఆబ్జెక్ట్‌లను ప్రాసెస్ చేసే విధానాన్ని లక్ష్యంగా చేసుకుని మొదటి దాడి జరిగింది.

మోడల్‌కు చేరకముందే విశ్వసనీయం కాదని స్పష్టంగా గుర్తించబడిన వెబ్ కంటెంట్‌కు భిన్నంగా, కాంటాక్ట్ రికార్డులు, vCards మరియు లొకేషన్ లేబుల్స్ విశ్వసనీయం కాని మూలాల నుండి వచ్చాయనే సూచన ఏదీ లేకుండా నేరుగా ప్రాంప్ట్‌లలో చొప్పించబడ్డాయి. ఇది ప్రాంప్ట్ ఇంజెక్షన్‌కు ఒక అవకాశాన్ని కల్పించింది.

ఈ దాడి, ఓపెన్‌క్లా కాంటాక్ట్ సమాచారాన్ని క్రమబద్ధీకరించే విధానాన్ని దుర్వినియోగం చేసింది. షేర్డ్ కాంటాక్ట్‌లు కేవలం పేరు మరియు ఫోన్ నంబర్ మాత్రమే ఉండే ఒక సరళమైన ఫార్మాట్‌లోకి మార్చబడ్డాయి. కాంటాక్ట్ పేర్లలో యాంగిల్ బ్రాకెట్‌ల వంటి అక్షరాలను అనుమతించడం వల్ల, దాడి చేసేవారు కాంటాక్ట్ సమాచారంలో భాగంగా కనిపించే హానికరమైన సూచనలను పొందుపరచగలిగారు. అంతేకాకుండా, మెసేజింగ్ అప్లికేషన్‌లలో కాంటాక్ట్ పేర్లు తరచుగా కుదించబడతాయి, దీనివల్ల బాధితులు దాగి ఉన్న పేలోడ్‌ను చూడలేరు.

vCard పూర్తి-పేరు ఫీల్డ్‌లు మరియు భాగస్వామ్య స్థాన లేబుల్‌ల ద్వారా కూడా ఇదే పద్ధతి ప్రభావవంతంగా పనిచేసింది. జెమిని 3.1 ప్రో ప్రివ్యూ బిల్డ్‌లతో పరీక్షించే సమయంలో, దాచిన సూచనలు ఒక పరిశోధకుడి నియంత్రణలో ఉన్న సర్వర్ నుండి కోడ్‌ను డౌన్‌లోడ్ చేసి, అమలు చేసేలా ఏజెంట్‌ను విజయవంతంగా ఒప్పించాయి. ఆసక్తికరంగా, చిత్రాలలో సూచనలను దాచే ప్రయత్నాలు విఫలమయ్యాయి, బహుశా ఆధునిక AI నమూనాలు ఇమేజ్-ఆధారిత ప్రాంప్ట్ ఇంజెక్షన్ దాడులకు వ్యతిరేకంగా విస్తృతమైన శిక్షణ పొందడమే దీనికి కారణం కావచ్చు. అయితే, మెసేజ్-ఆబ్జెక్ట్ దాడులు ప్రస్తుత నమూనాలకు అంతగా పరిచితం కాదు.

OpenClaw యొక్క డిఫాల్ట్ మెమరీ ఫంక్షనాలిటీ ముప్పును తీవ్రతరం చేయగలదని పరిశోధకులు హెచ్చరించారు. సరైన శాండ్‌బాక్సింగ్ నియంత్రణలు లేనట్లయితే, విస్తృతంగా పంపిణీ చేయబడిన ఒకే ఒక హానికరమైన కాంటాక్ట్ లేదా షేర్డ్ ఆబ్జెక్ట్ అనేక ఏజెంట్లను ప్రమాదంలో పడేయగలదు.

బాధ్యతాయుతమైన బహిర్గతం తరువాత, OpenClaw వెర్షన్ 2026.4.23ను విడుదల చేసింది. ఇది కాంటాక్ట్ పేర్లు, vCard ఫీల్డ్‌లు మరియు లొకేషన్ లేబుల్‌లను ప్రాంప్ట్ కంటెంట్ నుండి వేరుచేసి, వాటిని ఒక ప్రత్యేకమైన విశ్వసనీయత లేని మెటాడేటా ఛానెల్‌లో ఉంచుతుంది. ఇలాంటి డిజైన్ పద్ధతులు ఇతర పర్సనల్ AI అసిస్టెంట్‌లలో కూడా కనిపించాయని పరిశోధకులు గుర్తించారు, ఇది ఒక ప్లాట్‌ఫామ్-నిర్దిష్ట సమస్య కాకుండా పరిశ్రమ-వ్యాప్త సవాలును సూచిస్తుంది.

ఏజెంట్ ఫిషింగ్ యొక్క పెరుగుదల

రెండవ పరిశోధనా ప్రాజెక్ట్ ఈ సమస్యను భిన్నమైన కోణం నుండి పరిశీలించింది: అదే సోషల్ ఇంజనీరింగ్.

పరిశోధకులు పించీ అనే పేరుతో ఒక టెస్ట్ ఏజెంట్‌ను రూపొందించి, వాస్తవికమైన కానీ కృత్రిమమైన వ్యాపార సంభాషణలు మరియు నకిలీ సున్నితమైన డేటాతో నింపబడిన ఒక జీమెయిల్ ఇన్‌బాక్స్‌కు దానిని అనుసంధానించారు. ఆ తర్వాత ఆ బృందం గూగుల్ జెమిని 3.1 ప్రో మరియు ఓపెన్‌ఏఐ కోడెక్స్ జీపీటీ-5.4 రెండింటినీ ఉపయోగించి నాలుగు ఫిషింగ్ అనుకరణలను నిర్వహించింది.

ఈ అధ్యయనం, సాంప్రదాయ ప్రాంప్ట్ ఇంజెక్షన్‌కు మరియు పరిశోధకులు 'ఏజెంట్ ఫిషింగ్'గా అభివర్ణించిన దానికి మధ్య ఉన్న తేడాను స్పష్టం చేసింది. ప్రాంప్ట్ ఇంజెక్షన్ హానికరమైన సూచనలను డేటాలో దాచిపెడుతుండగా, ఏజెంట్ ఫిషింగ్ మాత్రం చట్టబద్ధమైన కమ్యూనికేషన్ మార్గాల ద్వారా పంపబడే నమ్మశక్యమైన అభ్యర్థనలపై ఆధారపడుతుంది. పంపినవారి గుర్తింపును సరిగ్గా ధృవీకరించుకోకముందే ఏజెంట్ పనిచేయడం వల్ల ఈ దాడి విజయవంతమవుతుంది.

సోషల్ ఇంజనీరింగ్ భద్రతా నియంత్రణలను ఎలా ఓడించింది

ఫిషింగ్ అనుకరణలు ఆందోళనకరమైన ఫలితాలను ఇచ్చాయి. పంపినవారి గుర్తింపులను ధృవీకరించడానికి కఠినమైన సూచనల కింద పనిచేస్తున్నప్పటికీ, ఏజెంట్ రెండు డేటా-బహిష్కరణ దృశ్యాలలో విఫలమైంది:

ఒక టీమ్ లీడర్‌గా నటిస్తున్న మోసపూరిత ఇమెయిల్, కల్పిత ప్రొడక్షన్ సంఘటన సమయంలో స్టేజింగ్ యాక్సెస్‌ను అభ్యర్థించింది. ఆ ఏజెంట్ నకిలీ AWS IAM క్రెడెన్షియల్స్, డేటాబేస్ కనెక్షన్ స్ట్రింగ్‌లు మరియు SSH క్రెడెన్షియల్స్‌ను గుర్తించి, వాటిని ప్లెయిన్ టెక్స్ట్‌లో ఫార్వార్డ్ చేసింది.

రెండవ ఇమెయిల్, త్రైమాసిక వ్యాపార సమీక్ష ప్రజెంటేషన్ కోసం అని చెప్పబడిన ఒక సాధారణ వారపు కస్టమర్ ఎక్స్‌పోర్ట్‌ను అభ్యర్థించింది. ఏజెంట్, కాంటాక్ట్‌లు మరియు కాంట్రాక్ట్ విలువలతో సహా 247 ఎంటర్‌ప్రైజ్ కస్టమర్‌ల సమాచారాన్ని కలిగి ఉన్న ఒక సింథటిక్ డేటాబేస్‌ను పంపారు.

సాంకేతిక దాడులను ఎదుర్కొన్నప్పుడు ఏజెంట్ గణనీయంగా మెరుగ్గా పనిచేసింది. ఇది అనుమానాస్పద ఫిషింగ్ వెబ్‌సైట్‌లను గుర్తించి, చట్టబద్ధమైన ఆధారాలను బహిర్గతం చేయకుండా నివారించి, చివరికి హానికరమైన కార్యకలాపాలను ఫ్లాగ్ చేసింది. మరింత కఠినమైన సెట్టింగ్‌ల కింద, ఫిషింగ్ పేజీలకు యాక్సెస్ పూర్తిగా నిరోధించబడింది. టైమ్‌షీట్ అప్లికేషన్‌గా మారువేషంలో ఉన్న మోసపూరిత OAuth సమ్మతి స్క్రీన్‌ను ఎదుర్కొన్నప్పుడు, ఏజెంట్ దారి మళ్లింపు గమ్యాన్ని విశ్లేషించి, అది అనుమానాస్పదమని నిర్ధారించి, అనుమతులు ఇవ్వడానికి నిరాకరించింది.

హానికరమైన URLలను మరియు నకిలీ లాగిన్ పోర్టల్‌లను గుర్తించడంలో ఈ ఏజెంట్ తరచుగా మానవుల కంటే మెరుగ్గా పనిచేస్తుందని పరిశోధకులు నిర్ధారించారు. అయితే, సందర్భోచిత సామాజిక విచక్షణ విషయంలో ఇది ఇబ్బంది పడింది, ముఖ్యంగా అభ్యర్థనలు విశ్వసనీయ సహోద్యోగుల నుండి వచ్చినట్లు కనిపించినప్పుడు. AI సహాయకులను ఉపయోగకరంగా మార్చే సహాయపడాలనే లక్షణమే, వాటిపై దాడి జరగడానికి ఒక పెద్ద అవకాశాన్ని కూడా కల్పిస్తుంది.

బాహ్య సైట్‌లతో సంకర్షణ చెందేటప్పుడు లేదా సమాచారాన్ని ప్రసారం చేసేటప్పుడు జెమిని 3.1 ప్రో కంటే OpenAI కోడెక్స్ GPT-5.4 ఎక్కువ జాగ్రత్త వహించినప్పటికీ, చివరికి రెండు సిస్టమ్‌లు కూడా సోషల్ ఇంజనీరింగ్ ఎత్తుగడలకు బలి అయ్యాయి.

ఒకే మూల కారణం, బహుళ దాడి మార్గాలు

వేర్వేరు పద్ధతులను ఉపయోగించినప్పటికీ, రెండు దాడులు ఒకే ప్రాథమిక సామర్థ్యాలను ఉపయోగించుకున్నాయి:

• వ్యక్తిగత సమాచారానికి ప్రాప్యత.

• విశ్వసనీయత లేని కంటెంట్‌ను ప్రాసెస్ చేయగల సామర్థ్యం.

• బయటికి సమాచారాన్ని పంపడానికి అనుమతి.

తగిన నియంత్రణలు లేకుండా ఈ సామర్థ్యాలు కలిసి ఉన్నప్పుడు, ఒక హానికరమైన కాంటాక్ట్ కార్డ్ మరియు నమ్మశక్యమైన ఫిషింగ్ ఇమెయిల్ రెండూ ఒకే ఫలితాన్ని ఇవ్వగలవు: సున్నితమైన డేటాకు అనధికారిక ప్రాప్యత.

అదనపు పరిశోధన ఓపెన్‌క్లా యొక్క ఎకోసిస్టమ్‌లో ఇలాంటి విశ్వాస-సరిహద్దు సమస్యలను వెల్లడించింది. మునుపటి భద్రతా సలహాలను స్టాటిక్-విశ్లేషణ నియమాలుగా మార్చడం ద్వారా, పరిశోధకులు స్లాక్, డిస్కార్డ్, మ్యాట్రిక్స్, జాలో మరియు మైక్రోసాఫ్ట్ టీమ్స్‌తో అనుసంధానాలను ప్రభావితం చేసే మరో ఐదు బలహీనతలను గుర్తించారు.

ప్రతి దుర్బలత్వం ఒకే డిజైన్ లోపం నుండి ఉద్భవించింది. అనుమతి జాబితాలను మూల్యాంకనం చేసేటప్పుడు, ఛానల్ ఎక్స్‌టెన్షన్‌లు శాశ్వత ఐడెంటిఫైయర్‌లకు బదులుగా మార్చగల ప్రదర్శన పేర్లపై ఆధారపడ్డాయి. అందువల్ల, ఒక దాడి చేసేవాడు ఆమోదించబడిన వినియోగదారుకు సరిపోయేలా ఖాతా పేరును మార్చి, ఏజెంట్‌పై ప్రభావాన్ని పొందగలిగేవాడు. అప్పటి నుండి OpenClaw గుర్తించిన అన్ని సమస్యలను సరిచేసింది.

విస్తృత ఏజెంట్ అనుమతులపై పెరుగుతున్న ఆందోళనలు

ప్రారంభమైనప్పటి నుండి, OpenClaw దాని విస్తృతమైన అనుమతుల కారణంగా పరిశీలనకు గురైంది. ఈ ప్లాట్‌ఫారమ్ స్థానిక ఫైల్‌లు, షెల్ ఎన్విరాన్‌మెంట్‌లు మరియు ఇరవైకి పైగా మెసేజింగ్ ప్లాట్‌ఫారమ్‌లకు యాక్సెస్‌ను అందిస్తుంది, దీనివల్ల ఇది అత్యంత సామర్థ్యం గలదిగా ఉన్నప్పటికీ, సులభంగా ప్రభావితమయ్యేదిగా కూడా ఉంది.

ఆందోళనలు ఎంతగా పెరిగాయంటే, సున్నితమైన సమాచారం ఉన్న సిస్టమ్‌లపై OpenClawను ఉపయోగించవద్దని డచ్ డేటా పరిరక్షణ సంస్థ అయిన Autoriteit Persoonsgegevens వ్యక్తులకు మరియు సంస్థలకు సలహా ఇచ్చింది. డేటా ఉల్లంఘనలు మరియు ఖాతాల దుర్వినియోగం వంటి ప్రమాదాలను ఆ సంస్థ పేర్కొంది.

సురక్షితమైన AI ఏజెంట్ విస్తరణలను నిర్మించడం

మెసేజ్-ఆబ్జెక్ట్ దుర్బలత్వాన్ని పరిష్కరించడానికి, OpenClawను ఉపయోగించే సంస్థలు వెంటనే వెర్షన్ 2026.4.23 లేదా ఆ తర్వాతి వెర్షన్‌కు అప్‌గ్రేడ్ చేసుకోవాలి. అయితే, ప్యాచ్ చేయడం మినహా, దీర్ఘకాలిక రక్షణ అనేది సత్వర ఇంజనీరింగ్‌పై కాకుండా ఆర్కిటెక్చరల్ నియంత్రణలపై ఆధారపడి ఉంటుంది.

భద్రతా నిపుణులు ఏజెంట్ సూచనల ఫైళ్ళను సలహా మార్గదర్శకాలుగా కాకుండా, అమలు చేయదగిన, వెర్షన్-నియంత్రిత విధానాలుగా పరిగణించాలని సిఫార్సు చేస్తున్నారు. బయటి కమ్యూనికేషన్‌లకు, అపరిచిత గ్రహీతలకు సందేశాలు పంపే ముందు తప్పనిసరిగా ఆమోదం అవసరం. దీనివల్ల, రాజీపడిన ఏజెంట్లు విశ్వసనీయ ఖాతాల ద్వారా దాడులను వ్యాప్తి చేసే అవకాశం తగ్గుతుంది. యాక్సెస్ అనుమతులు కూడా, ప్రేరేపించే మూలం యొక్క విశ్వసనీయతకు ముడిపడి ఉండాలి. దీనివల్ల, బాహ్య కమ్యూనికేషన్‌లను ప్రాసెస్ చేసే ఏజెంట్లు, కస్టమర్ రిలేషన్‌షిప్ మేనేజ్‌మెంట్ ప్లాట్‌ఫారమ్‌ల వంటి అధిక-విలువ గల సిస్టమ్‌లను స్వయంచాలకంగా యాక్సెస్ చేయలేరని నిర్ధారించుకోవచ్చు. క్రెడెన్షియల్ షేరింగ్ మరియు ఆర్థిక లావాదేవీలతో సహా అధిక-ప్రమాదకర చర్యలు మానవ ఆమోదానికి లోబడి ఉండాలి.

స్వయంప్రతిపత్తి ట్రస్ట్ యొక్క పరిష్కారం కాని సవాలు

రెండు పరిశోధనా బృందాలు చివరికి ఒకే నిర్ధారణకు వచ్చాయి: ఏఐ ఏజెంట్లను భద్రతా సాధనాలుగా చూడకూడదు. విస్తృతమైన సిస్టమ్ యాక్సెస్ ఉండి, అనుమానాస్పద ప్రవర్తనను గుర్తించడంలో పరిమిత సామర్థ్యం ఉన్న ఒక జూనియర్ ఉద్యోగి నమూనా మరింత కచ్చితమైనది. తాము స్వీకరించే సమాచారాన్ని సహజంగానే విశ్వసించే, ప్రామాణీకరించబడిన కార్యనిర్వాహకులుగా వాటిని చూడటం మరో ఉపయోగకరమైన దృక్కోణం.

ప్రస్తుత నివారణ చర్యలు ప్యాచ్‌లు, రక్షణ చర్యలు మరియు యాక్సెస్ నియంత్రణలపై దృష్టి సారిస్తున్నాయి. అయినప్పటికీ, విస్తృతమైన సవాలు ఇంకా పరిష్కారం కాలేదు. ఇమెయిల్‌లను చదవగల, పనులను పూర్తి చేయగల మరియు స్వతంత్రంగా వ్యవహరించగల ఒక AI ఏజెంట్, దాని రూపకల్పన రీత్యా, ఇన్‌పుట్‌లను విశ్వసించి, వినియోగదారులకు సహాయం చేయడానికి ప్రయత్నించాలి. సైబర్‌ సెక్యూరిటీ సమాజం ఆ ప్రాథమిక వైరుధ్యానికి ఇంకా ఒక సార్వత్రిక పరిష్కారాన్ని అభివృద్ధి చేయలేదు.