การโจมตีใช้ประโยชน์จากเอเจนต์ AI ของ OpenClaw

ผลการวิจัยด้านความปลอดภัยล่าสุดเปิดเผยว่า OpenClaw ซึ่งเป็นแพลตฟอร์มเอเจนต์ AI แบบติดตั้งเองที่ใช้กันอย่างแพร่หลาย สามารถถูกควบคุมให้ดำเนินการตามที่ผู้โจมตีต้องการ หรือเปิดเผยข้อมูลที่ละเอียดอ่อนผ่านการป้อนข้อมูลที่ดูเหมือนไม่มีอันตรายใดๆ

ในการตรวจสอบแยกกัน นักวิจัยได้แสดงให้เห็นถึงวิธีการโจมตีสองวิธีที่แตกต่างกัน วิธีหนึ่งอาศัยการฝังคำสั่งที่ซ่อนไว้ในรายชื่อผู้ติดต่อที่แชร์ vCard และหมุดตำแหน่งที่ตั้ง อีกวิธีหนึ่งใช้อีเมลฟิชชิงที่สร้างขึ้นอย่างพิถีพิถันเพื่อโน้มน้าวให้ตัวแทน AI เปิดเผยข้อมูลทางธุรกิจที่ละเอียดอ่อน

แม้ว่า OpenClaw จะแก้ไขช่องโหว่หนึ่งในเวอร์ชัน 2026.4.23 แล้ว แต่ปัญหาโดยรวมยังคงไม่เปลี่ยนแปลง: เอเจนต์ AI ที่เชื่อถือข้อมูลที่เข้ามาสามารถกลายเป็นเครื่องมืออันทรงพลังสำหรับผู้โจมตีได้

คำสั่งที่มองไม่เห็นซึ่งซ่อนอยู่ต่อหน้าต่อตา

การโจมตีครั้งแรกมุ่งเป้าไปที่วิธีการที่ OpenClaw ประมวลผลวัตถุข้อความบางอย่างก่อนที่จะส่งไปยังแบบจำลองภาษาขนาดใหญ่ (LLM) ที่อยู่เบื้องหลัง

แตกต่างจากเนื้อหาบนเว็บซึ่งจะถูกระบุไว้อย่างชัดเจนว่าเป็นเนื้อหาที่ไม่น่าเชื่อถือก่อนที่จะเข้าสู่โมเดล ข้อมูลติดต่อ vCard และป้ายกำกับตำแหน่งถูกแทรกเข้าไปในข้อความแจ้งเตือนโดยตรงโดยไม่มีการระบุว่ามาจากแหล่งที่ไม่น่าเชื่อถือ ซึ่งสร้างโอกาสให้เกิดการแทรกข้อมูลในข้อความแจ้งเตือนได้

การโจมตีครั้งนี้ใช้ประโยชน์จากวิธีการที่ OpenClaw แปลงข้อมูลรายชื่อติดต่อเป็นรูปแบบอนุกรม ข้อมูลรายชื่อติดต่อที่แชร์จะถูกแปลงเป็นรูปแบบง่ายๆ ที่มีเพียงชื่อและหมายเลขโทรศัพท์ เนื่องจากอักขระต่างๆ เช่น วงเล็บเหลี่ยม สามารถใส่ไว้ในชื่อรายชื่อติดต่อได้ ผู้โจมตีจึงสามารถฝังคำสั่งที่เป็นอันตรายซึ่งดูเหมือนจะเป็นส่วนหนึ่งของข้อมูลรายชื่อติดต่อได้ นอกจากนี้ ชื่อรายชื่อติดต่อมักจะถูกตัดทอนในแอปพลิเคชันส่งข้อความ ทำให้เหยื่อไม่สามารถมองเห็นข้อมูลที่ซ่อนอยู่ได้

เทคนิคเดียวกันนี้พิสูจน์แล้วว่ามีประสิทธิภาพผ่านฟิลด์ชื่อเต็มของ vCard และป้ายกำกับตำแหน่งที่ใช้ร่วมกัน ในระหว่างการทดสอบกับเวอร์ชันพรีวิวของ Gemini 3.1 Pro คำสั่งที่ซ่อนอยู่สามารถโน้มน้าวให้เอเจนต์ดาวน์โหลดและเรียกใช้โค้ดจากเซิร์ฟเวอร์ที่นักวิจัยควบคุมได้สำเร็จ ที่น่าสนใจคือ ความพยายามที่จะซ่อนคำสั่งไว้ในรูปภาพนั้นล้มเหลว ซึ่งอาจเป็นเพราะโมเดล AI สมัยใหม่ได้รับการฝึกฝนอย่างกว้างขวางเพื่อรับมือกับการโจมตีแบบแทรกข้อความแจ้งเตือนโดยใช้รูปภาพ อย่างไรก็ตาม การโจมตีแบบวัตถุข้อความยังคงเป็นสิ่งที่โมเดลปัจจุบันยังไม่คุ้นเคยมากนัก

นักวิจัยเตือนว่าฟังก์ชันหน่วยความจำเริ่มต้นของ OpenClaw อาจเพิ่มภัยคุกคามได้ ไฟล์ติดต่อที่เป็นอันตรายเพียงไฟล์เดียวหรือวัตถุที่ใช้ร่วมกันซึ่งเผยแพร่ในวงกว้าง อาจส่งผลกระทบต่อเอเจนต์จำนวนมากหากไม่มีการควบคุมแซนด์บ็อกซ์ที่เหมาะสม

หลังจากการเปิดเผยข้อมูลอย่างรับผิดชอบ OpenClaw ได้ปล่อยเวอร์ชัน 2026.4.23 ซึ่งแยกชื่อผู้ติดต่อ ฟิลด์ vCard และป้ายกำกับตำแหน่งออกจากเนื้อหาข้อความแจ้งเตือน โดยจัดเก็บไว้ในช่องข้อมูลเมตาที่ไม่น่าเชื่อถือโดยเฉพาะ นักวิจัยยังตั้งข้อสังเกตว่ารูปแบบการออกแบบที่คล้ายกันนี้ปรากฏในผู้ช่วย AI ส่วนบุคคลอื่น ๆ ซึ่งบ่งชี้ว่าเป็นความท้าทายในระดับอุตสาหกรรมมากกว่าปัญหาเฉพาะแพลตฟอร์ม

การเพิ่มขึ้นของ Agent Phishing

โครงการวิจัยที่สองได้เข้าถึงปัญหาจากมุมมองที่แตกต่างออกไป นั่นคือ วิศวกรรมทางสังคม

นักวิจัยสร้างเอเจนต์ทดสอบชื่อ Pinchy และเชื่อมต่อเข้ากับกล่องจดหมาย Gmail ที่เต็มไปด้วยการสื่อสารทางธุรกิจที่สมจริงแต่สร้างขึ้น และข้อมูลสำคัญจำลอง จากนั้นทีมงานได้ทำการจำลองการโจมตีแบบฟิชชิงสี่ครั้งโดยใช้ทั้ง Google Gemini 3.1 Pro และ OpenAI Codex GPT-5.4

การศึกษาครั้งนี้ได้แยกแยะความแตกต่างระหว่างการโจมตีแบบ Prompt Injection แบบดั้งเดิม กับสิ่งที่นักวิจัยเรียกว่า 'Agent Phishing' โดย Prompt Injection จะซ่อนคำสั่งที่เป็นอันตรายไว้ในข้อมูล ในขณะที่ Agent Phishing อาศัยคำขอที่ดูน่าเชื่อถือซึ่งส่งผ่านช่องทางการสื่อสารที่ถูกต้องตามกฎหมาย การโจมตีจะสำเร็จเพราะเอเจนต์ดำเนินการก่อนที่จะตรวจสอบตัวตนของผู้ส่งอย่างเพียงพอ

วิศวกรรมสังคมเอาชนะระบบควบคุมความปลอดภัยได้อย่างไร

ผลการจำลองการโจมตีแบบฟิชชิงนั้นน่าเป็นห่วง แม้จะได้รับคำสั่งให้ตรวจสอบตัวตนของผู้ส่งอย่างเคร่งครัด แต่ตัวแทนก็ล้มเหลวในการจำลองการขโมยข้อมูลสองกรณี:

อีเมลปลอมที่แอบอ้างเป็นหัวหน้าทีมได้ขอสิทธิ์เข้าถึงระบบทดสอบระหว่างเหตุการณ์จำลองที่เกิดขึ้นจริง ตัวแทนได้ค้นหาและส่งต่อข้อมูลประจำตัว AWS IAM ปลอม สตริงการเชื่อมต่อฐานข้อมูล และข้อมูลประจำตัว SSH ในรูปแบบข้อความธรรมดา

อีเมลฉบับที่สองขอให้ส่งข้อมูลลูกค้าประจำสัปดาห์เพื่อใช้ในการนำเสนอรายงานผลประกอบการรายไตรมาส ตัวแทนส่งฐานข้อมูลจำลองที่มีข้อมูลเกี่ยวกับลูกค้าองค์กร 247 ราย รวมถึงข้อมูลการติดต่อและมูลค่าสัญญา

ตัวแทน (Agent) ทำงานได้ดีขึ้นอย่างเห็นได้ชัดเมื่อเผชิญกับการโจมตีทางเทคนิค มันสามารถจดจำเว็บไซต์ฟิชชิ่งที่น่าสงสัย หลีกเลี่ยงการเปิดเผยข้อมูลประจำตัวที่ถูกต้อง และในที่สุดก็ตรวจพบกิจกรรมที่เป็นอันตราย ภายใต้การตั้งค่าที่เข้มงวดมากขึ้น การเข้าถึงหน้าเว็บฟิชชิ่งจะถูกบล็อกโดยสิ้นเชิง เมื่อพบกับหน้าจอขอความยินยอม OAuth ปลอมที่ปลอมตัวเป็นแอปพลิเคชันบันทึกเวลา ตัวแทนจะวิเคราะห์ปลายทางการเปลี่ยนเส้นทาง พิจารณาว่าน่าสงสัย และปฏิเสธการให้สิทธิ์

นักวิจัยสรุปว่า ตัวแทน AI มักทำงานได้ดีกว่ามนุษย์ในการระบุ URL ที่เป็นอันตรายและพอร์ทัลล็อกอินปลอม อย่างไรก็ตาม มันมีปัญหาในการตัดสินทางสังคมตามบริบท โดยเฉพาะอย่างยิ่งเมื่อคำขอมาจากเพื่อนร่วมงานที่น่าเชื่อถือ คุณลักษณะที่ทำให้ผู้ช่วย AI มีประโยชน์ คือความปรารถนาที่จะช่วยเหลือ ซึ่งคุณลักษณะนี้ก็สร้างช่องโหว่ให้ถูกโจมตีได้เช่นกัน

แม้ว่า OpenAI Codex GPT-5.4 จะแสดงความระมัดระวังมากกว่า Gemini 3.1 Pro เมื่อโต้ตอบกับเว็บไซต์ภายนอกหรือส่งข้อมูล แต่ในที่สุดทั้งสองระบบก็ตกเป็นเหยื่อของกลอุบายทางสังคมอยู่ดี

สาเหตุหลักหนึ่งเดียว แต่มีเส้นทางการโจมตีหลายทาง

ถึงแม้จะใช้เทคนิคที่แตกต่างกัน แต่การโจมตีทั้งสองแบบก็ใช้ประโยชน์จากความสามารถพื้นฐานเดียวกัน:

• การเข้าถึงข้อมูลส่วนตัว

เมื่อความสามารถเหล่านี้มีอยู่ร่วมกันโดยปราศจากการควบคุมที่เพียงพอ บัตรติดต่อปลอมและอีเมลฟิชชิ่งที่น่าเชื่อถือสามารถก่อให้เกิดผลลัพธ์เดียวกันได้ นั่นคือ การเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาต

การวิจัยเพิ่มเติมได้ค้นพบปัญหาขอบเขตความไว้วางใจที่คล้ายคลึงกันภายในระบบนิเวศของ OpenClaw โดยการแปลงคำแนะนำด้านความปลอดภัยก่อนหน้านี้ให้เป็นกฎการวิเคราะห์แบบคงที่ นักวิจัยได้ระบุช่องโหว่เพิ่มเติมอีก 5 รายการที่ส่งผลกระทบต่อการผสานรวมกับ Slack, Discord, Matrix, Zalo และ Microsoft Teams

ช่องโหว่แต่ละข้อเกิดจากข้อบกพร่องในการออกแบบเดียวกัน ส่วนขยายช่องทางใช้ชื่อที่แสดงซึ่งเปลี่ยนแปลงได้แทนที่จะใช้ตัวระบุถาวรเมื่อประเมินรายชื่อผู้ได้รับอนุญาต ดังนั้นผู้โจมตีจึงสามารถเปลี่ยนชื่อบัญชีให้ตรงกับผู้ใช้ที่ได้รับอนุมัติและควบคุมเอเจนต์ได้ OpenClaw ได้แก้ไขปัญหาที่พบทั้งหมดแล้ว

ความกังวลที่เพิ่มขึ้นเกี่ยวกับการอนุญาตตัวแทนในวงกว้าง

นับตั้งแต่เปิดตัว OpenClaw ก็ได้รับความสนใจอย่างมากเนื่องจากสิทธิ์การเข้าถึงที่กว้างขวาง แพลตฟอร์มนี้ให้สิทธิ์การเข้าถึงไฟล์ในเครื่อง สภาพแวดล้อมเชลล์ และแพลตฟอร์มการส่งข้อความมากกว่ายี่สิบแพลตฟอร์ม ทำให้มีความสามารถสูง แต่ก็มีความเสี่ยงสูงเช่นกัน

ความกังวลดังกล่าวทวีความรุนแรงขึ้นจนถึงขั้นที่หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (Autoriteit Persoonsgegevens) ต้องออกคำแนะนำให้บุคคลและองค์กรต่างๆ หลีกเลี่ยงการใช้งาน OpenClaw บนระบบที่มีข้อมูลสำคัญ โดยหน่วยงานดังกล่าวระบุถึงความเสี่ยงต่างๆ เช่น การรั่วไหลของข้อมูลและการถูกแฮ็กบัญชีผู้ใช้

การสร้างระบบการใช้งาน AI Agent ที่ปลอดภัยยิ่งขึ้น

องค์กรที่ใช้ OpenClaw ควรทำการอัปเกรดเป็นเวอร์ชัน 2026.4.23 หรือใหม่กว่าโดยทันที เพื่อแก้ไขช่องโหว่ด้านออบเจ็กต์ข้อความ อย่างไรก็ตาม นอกเหนือจากการแก้ไขช่องโหว่แล้ว การป้องกันในระยะยาวขึ้นอยู่กับการควบคุมทางสถาปัตยกรรมมากกว่าการแก้ไขทางวิศวกรรมอย่างรวดเร็ว

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ปฏิบัติต่อไฟล์คำสั่งของเอเจนต์เสมือนเป็นนโยบายที่บังคับใช้ได้และมีการควบคุมเวอร์ชัน แทนที่จะเป็นเพียงคำแนะนำ การสื่อสารขาออกควรต้องได้รับการอนุมัติก่อนส่งข้อความไปยังผู้รับที่ไม่คุ้นเคย เพื่อลดโอกาสที่เอเจนต์ที่ถูกบุกรุกจะแพร่กระจายการโจมตีผ่านบัญชีที่เชื่อถือได้ สิทธิ์การเข้าถึงควรเชื่อมโยงกับความน่าเชื่อถือของแหล่งที่มาที่กระตุ้นการทำงาน เพื่อให้แน่ใจว่าเอเจนต์ที่ประมวลผลการสื่อสารภายนอกไม่สามารถเข้าถึงระบบที่มีมูลค่าสูงโดยอัตโนมัติ เช่น แพลตฟอร์มการจัดการความสัมพันธ์กับลูกค้า การกระทำที่มีความเสี่ยงสูง รวมถึงการแบ่งปันข้อมูลประจำตัวและธุรกรรมทางการเงิน ควรยังคงอยู่ภายใต้การอนุมัติของมนุษย์

ความท้าทายที่ยังแก้ไม่ตกของความไว้วางใจแบบอัตโนมัติ

ทั้งสองทีมวิจัยได้ข้อสรุปเดียวกันในท้ายที่สุด: ไม่ควรพิจารณาตัวแทน AI ว่าเป็นเครื่องมือรักษาความปลอดภัย รูปแบบที่ถูกต้องกว่าคือพนักงานระดับล่างที่มีสิทธิ์เข้าถึงระบบอย่างกว้างขวาง แต่มีความสามารถจำกัดในการตรวจจับพฤติกรรมที่น่าสงสัย อีกมุมมองหนึ่งที่น่าสนใจคือการมองว่าพวกมันเป็นผู้ดำเนินการที่ได้รับการรับรองความถูกต้อง ซึ่งไว้วางใจในข้อมูลที่ได้รับโดยธรรมชาติ

มาตรการบรรเทาผลกระทบในปัจจุบันมุ่งเน้นไปที่การแก้ไขช่องโหว่ การกำหนดมาตรการป้องกัน และการควบคุมการเข้าถึง แต่ความท้าทายที่กว้างกว่านั้นยังคงไม่ได้รับการแก้ไข ตัวแทน AI ที่สามารถอ่านอีเมล ดำเนินการตามภารกิจ และกระทำการได้อย่างอิสระ จะต้องเชื่อมั่นในข้อมูลที่ป้อนเข้ามาและพยายามช่วยเหลือผู้ใช้ ชุมชนด้านความปลอดภัยทางไซเบอร์ยังไม่ได้พัฒนาวิธีการแก้ปัญหาที่เป็นสากลสำหรับความขัดแย้งพื้นฐานนี้