CNCERT ostrzega przed zagrożeniami związanymi z OpenClaw, autonomiczną sztuczną inteligencją
Chińska Narodowa Techniczna Grupa Kryzysowa ds. Bezpieczeństwa Komputerowego (CNCERT) wydała ostrzeżenie dotyczące zagrożeń bezpieczeństwa związanych z wykorzystaniem OpenClaw, autonomicznego agenta sztucznej inteligencji (AI) typu open-source i self-hosted, który wcześniej był znany jako Clawdbot i Moltbot.
W poście opublikowanym na platformie WeChat, CNCERT zauważył, że „wrodzone słabe domyślne konfiguracje zabezpieczeń” tej platformy, w połączeniu z jej uprzywilejowanym dostępem do systemu, mogą być wykorzystywane przez cyberprzestępców do przejęcia kontroli nad punktami końcowymi.
Wnioski dotyczące bezpieczeństwa OpenClaw
Zagrożenia wynikają również z tak zwanych wstrzyknięć poleceń, gdzie złośliwe instrukcje wplecione w stronę internetową mogą skłonić agenta do ujawnienia poufnych informacji, jeśli zostanie zmanipulowany do dostępu do tego typu treści.
Atak ten jest określany jako pośrednie wstrzykiwanie poleceń (IDPI) lub wstrzykiwanie poleceń z różnych domen (XPIA), gdzie przeciwnicy zamiast bezpośredniej interakcji z dużymi modelami językowymi (LLM), wykorzystują benigne cechy AI, takie jak podsumowanie stron internetowych, do wprowadzania zmanipulowanych instrukcji.
To może obejmować omijanie systemów recenzji reklam opartych na AI, wpływanie na decyzje rekrutacyjne, a także zanieczyszczanie optymalizacji wyszukiwarek (SEO) lub generowanie stronniczych odpowiedzi poprzez tłumienie negatywnych recenzji.
Nowe zagrożenia i metody ataków
OpenAI, w poście na blogu opublikowanym na początku tygodnia, zaznaczył, że ataki oparte na wstrzyknięciach poleceń ewoluują, wychodząc poza zwykłe umieszczanie instrukcji w zewnętrznych treściach, aby uwzględnić elementy inżynierii społecznej. „Agenci AI są coraz bardziej zdolni do przeglądania internetu, pozyskiwania informacji i podejmowania działań w imieniu użytkownika,” wyjaśniono.
Ogólny pomysł polega na oszukaniu agenta AI tak, aby generował URL kontrolowany przez atakującego, który, wyświetlany w aplikacji do przesyłania wiadomości jako podgląd linku, automatycznie powoduje przesyłanie poufnych danych do tego domeny, bez konieczności klikania w link.
„Oznacza to, że w systemach agentowych z podglądami linków, exfiltracja danych może nastąpić natychmiast po odpowiedzi agenta AI na zapytanie użytkownika, bez konieczności klikania na złośliwy link,” dodała firma zajmująca się bezpieczeństwem AI.
Badania przeprowadzone przez PromptArmor ujawniły, że funkcja podglądu linków w aplikacjach do przesyłania wiadomości, takich jak Telegram czy Discord, może zostać użyta jako sposób na exfiltrację danych przy komunikacji z OpenClaw za pomocą pośredniego wstrzyknięcia poleceń.
Rekomendacje dla użytkowników i organizacji
CNCERT zwrócił również uwagę na trzy inne niebezpieczeństwa – możliwość przypadkowego usunięcia istotnych informacji przez OpenClaw z powodu niewłaściwej interpretacji instrukcji użytkownika, możliwość przesyłania złośliwych umiejętności do repozytoriów takich jak ClawHub oraz wykorzystanie nowo ujawnionych luk zabezpieczeń w OpenClaw, które mogą prowadzić do kompromitacji systemu i wycieku danych.
„Dla kluczowych sektorów – takich jak finanse i energia – takie naruszenia mogą doprowadzić do wycieku fundamentalnych danych biznesowych, tajemnic handlowych i repozytoriów kodu, a nawet do całkowitego sparaliżowania systemów biznesowych, co może przynieść nieobliczalne straty,” dodała CNCERT.
Aby przeciwdziałać tym zagrożeniom, użytkownicy i organizacje są zachęcani do wzmocnienia kontroli sieciowych, zapobiegania eksponowaniu domyślnego portu zarządzania OpenClaw do internetu, izolowania usługi w kontenerze oraz unikania przechowywania poświadczeń w postaci niezaszyfrowanej. Należy również pobierać umiejętności wyłącznie z zaufanych źródeł, dezaktywować automatyczne aktualizacje dla umiejętności oraz regularnie aktualizować agenta.
Ograniczenia w użytkowaniu OpenClaw w Chinach
W związku z zaistniałymi zagrożeniami, chińskie władze wprowadziły zakaz korzystania z aplikacji AI OpenClaw na komputerach biurowych przez państwowe przedsiębiorstwa i agencje rządowe, aby ograniczyć ryzyko związane z bezpieczeństwem. Zakaz ten ma również obejmować rodziny personelu wojskowego.
Wzrastająca popularność OpenClaw przyciągnęła także uwagę cyberprzestępców, którzy wykorzystują zjawisko do rozprzestrzeniania złośliwych repozytoriów GitHub podszywających się pod instalatory OpenClaw, które rozprzestrzeniają takie złośliwe oprogramowanie jak Atomic i Vidar Stealer oraz bazujący na Golang proxy malware znany jako GhostSocks.
„Kampania nie koncentrowała się na konkretnej branży, ale szeroko atakowała użytkowników próbujących zainstalować OpenClaw, oferując złośliwe repozytoria zawierające instrukcje pobierania zarówno dla systemów Windows, jak i macOS,” zaznaczyła firma Huntress. „Sukces tej kampanii wynikał z tego, że złośliwe oprogramowanie było hostowane na GitHub, a złośliwe repozytorium stało się najwyżej ocenianą sugestią w wynikach wyszukiwania AI Bing dla OpenClaw Windows.”
