- 27,545
- 46
- 8 Ноя 2022
Два простых слова обходят систему безопасности корпоративного агента.
Обычное письмо, контакт в мессенджере или метка на карте могут выглядеть безобидно, но для ИИ-агента с доступом к почте, файлам и командам такой ввод превращается в прямую дорогу к чужим данным. Две команды специалистов отдельно показали, как популярный самостоятельно размещаемый ИИ-агент OpenClaw можно заставить выполнить чужой код или отправить конфиденциальную информацию за пределы компании.
Специалисты Imperva нашли уязвимость в том, как OpenClaw передаёт языковой модели данные из сообщений. Агент превращал общий контакт, визитную карточку или геометку в обычный текст и вставлял его прямо в запрос к модели, не помечая такие данные как недоверенные. В результате злоумышленник мог спрятать команду внутри имени контакта, поля полного имени в визитной карточке или подписи к месту на карте.
Особенно опасным такой приём делает то, что жертва не видит вредоносную инструкцию. В WhatsApp и в принимающем приложении длинное имя контакта обрезается на экране, а модель получает скрытую часть целиком. В тестах Imperva против Gemini 3.1 Pro предварительной версии скрытая команда заставила агента скачать и запустить сценарий с сервера, который контролировали специалисты.
Imperva предупредила, что при включённой памяти OpenClaw один широко разошедшийся контакт или объект с вложенной инструкцией теоретически может заражать агентов, которые обработают такой ввод. Разработчики OpenClaw исправили проблему в версии 2026.4.23. Теперь имена контактов, поля визитных карточек и подписи к геометкам передаются модели через отдельный канал недоверенных метаданных, а не смешиваются с основным текстом запроса. Тем, кто использует OpenClaw, нужно обновиться до версии 2026.4.23 или новее.
Varonis Threat Labs проверила OpenClaw с другой стороны. Команда создала тестового агента Pinchy, подключила его к почтовому ящику Gmail с правдоподобными, но искусственными деловыми данными и провела четыре фишинговых теста на Google Gemini 3.1 Pro и OpenAI Codex GPT-5.4. Специалисты назвали такой сценарий агентским фишингом : злоумышленник не прячет команды в данных, а отправляет убедительную просьбу через обычный канал, рассчитывая, что агент начнёт действовать раньше, чем проверит отправителя.
В двух случаях агент провалил проверку. Сначала письмо от имени руководителя команды, отправленное с внешнего адреса Gmail, попросило доступы для якобы срочного инцидента на рабочей системе. Pinchy нашёл учётные данные и переслал наружу тестовые ключи AWS IAM, строки подключения к базе данных и данные для SSH. Затем агент получил обычную на вид просьбу еженедельно выгружать клиентские данные для презентации и отправил синтетический набор из 247 корпоративных клиентов, контактов и сумм контрактов.
Оба провала произошли даже при строгих настройках, где агенту прямо предписывали сначала проверять отправителя. В одном случае сработало давление срочностью, в другом, наоборот, будничный тон письма. Технические ловушки агент распознавал лучше: подозрительную страницу с подарочными картами он в итоге пометил как опасную, а вредоносный экран выдачи разрешений через OAuth остановил после проверки адреса перенаправления.
Varonis делает из тестов неприятный вывод: ИИ-агент может лучше человека замечать плохие ссылки и поддельные страницы входа, но хуже оценивает социальный контекст . Желание помочь становится частью атаки. По данным Varonis, OpenAI Codex GPT-5.4 осторожнее отправлял данные на внешние сайты без подтверждения, чем Gemini 3.1 Pro, но оба варианта модели поддались убедительным деловым просьбам.
Общая причина двух атак одна. OpenClaw одновременно читает закрытые данные, принимает недоверенный ввод и умеет отправлять информацию наружу. В такой связке отравленный контакт и дружелюбное письмо приводят к одному результату, потому что права агента становятся правами атакующего . Varonis сопоставляет обе атаки с тем, что Саймон Уиллисон называет « смертельной триадой» .
Похожая проблема проявилась и в расширениях OpenClaw для мессенджеров. Отдельный анализ InfoSec Write-ups обнаружил пять уязвимостей в каналах Slack, Discord, Matrix, Zalo и Microsoft Teams. В каждом случае список разрешённых пользователей проверялся по изменяемому отображаемому имени, а не по стабильному идентификатору. Злоумышленник мог переименоваться под доверенного пользователя и получить возможность управлять агентом. Эти ошибки уже исправлены.
OpenClaw предоставляет широкий доступ к файлам, командной оболочке и более чем 20 платформам обмена сообщениями, поэтому цена ошибки оказывается высокой. Управление по защите персональных данных Нидерландов ранее заняло жёсткую позицию и рекомендовало пользователям и организациям не запускать OpenClaw на системах с чувствительной информацией, указывая на риск утечек и захвата учётных записей.
Одного обновления в такой ситуации недостаточно. Исправление версии 2026.4.23 закрывает конкретную ошибку с объектами сообщений, но фишинговые атаки через обычные письма требуют другой архитектуры. Агенту нельзя давать право впервые писать на незнакомые адреса без одобрения человека. Доступ к подключённым сервисам должен зависеть от того, откуда пришла задача. Почтовый ящик, который принимает внешние письма, не должен одновременно открывать агенту всю клиентскую базу. Высокорисковые действия должны ждать ручного подтверждения – например, когда агент пересылает учётные данные или проводит финансовые операции.
Обе команды приходят к одной мысли, что ИИ-агент с доступом к системам нельзя считать самостоятельным защитным инструментом. Без ограничений он больше похож на младшего сотрудника с большими правами, сильным желанием помочь и слабым чутьём на странные просьбы. Пока универсального решения для такой модели нет, поэтому владельцам OpenClaw остаются обновления, изоляция, строгие права и обязательное подтверждение опасных действий человеком.
Обычное письмо, контакт в мессенджере или метка на карте могут выглядеть безобидно, но для ИИ-агента с доступом к почте, файлам и командам такой ввод превращается в прямую дорогу к чужим данным. Две команды специалистов отдельно показали, как популярный самостоятельно размещаемый ИИ-агент OpenClaw можно заставить выполнить чужой код или отправить конфиденциальную информацию за пределы компании.
Специалисты Imperva нашли уязвимость в том, как OpenClaw передаёт языковой модели данные из сообщений. Агент превращал общий контакт, визитную карточку или геометку в обычный текст и вставлял его прямо в запрос к модели, не помечая такие данные как недоверенные. В результате злоумышленник мог спрятать команду внутри имени контакта, поля полного имени в визитной карточке или подписи к месту на карте.
Особенно опасным такой приём делает то, что жертва не видит вредоносную инструкцию. В WhatsApp и в принимающем приложении длинное имя контакта обрезается на экране, а модель получает скрытую часть целиком. В тестах Imperva против Gemini 3.1 Pro предварительной версии скрытая команда заставила агента скачать и запустить сценарий с сервера, который контролировали специалисты.
Imperva предупредила, что при включённой памяти OpenClaw один широко разошедшийся контакт или объект с вложенной инструкцией теоретически может заражать агентов, которые обработают такой ввод. Разработчики OpenClaw исправили проблему в версии 2026.4.23. Теперь имена контактов, поля визитных карточек и подписи к геометкам передаются модели через отдельный канал недоверенных метаданных, а не смешиваются с основным текстом запроса. Тем, кто использует OpenClaw, нужно обновиться до версии 2026.4.23 или новее.
Varonis Threat Labs проверила OpenClaw с другой стороны. Команда создала тестового агента Pinchy, подключила его к почтовому ящику Gmail с правдоподобными, но искусственными деловыми данными и провела четыре фишинговых теста на Google Gemini 3.1 Pro и OpenAI Codex GPT-5.4. Специалисты назвали такой сценарий агентским фишингом : злоумышленник не прячет команды в данных, а отправляет убедительную просьбу через обычный канал, рассчитывая, что агент начнёт действовать раньше, чем проверит отправителя.
В двух случаях агент провалил проверку. Сначала письмо от имени руководителя команды, отправленное с внешнего адреса Gmail, попросило доступы для якобы срочного инцидента на рабочей системе. Pinchy нашёл учётные данные и переслал наружу тестовые ключи AWS IAM, строки подключения к базе данных и данные для SSH. Затем агент получил обычную на вид просьбу еженедельно выгружать клиентские данные для презентации и отправил синтетический набор из 247 корпоративных клиентов, контактов и сумм контрактов.
Оба провала произошли даже при строгих настройках, где агенту прямо предписывали сначала проверять отправителя. В одном случае сработало давление срочностью, в другом, наоборот, будничный тон письма. Технические ловушки агент распознавал лучше: подозрительную страницу с подарочными картами он в итоге пометил как опасную, а вредоносный экран выдачи разрешений через OAuth остановил после проверки адреса перенаправления.
Varonis делает из тестов неприятный вывод: ИИ-агент может лучше человека замечать плохие ссылки и поддельные страницы входа, но хуже оценивает социальный контекст . Желание помочь становится частью атаки. По данным Varonis, OpenAI Codex GPT-5.4 осторожнее отправлял данные на внешние сайты без подтверждения, чем Gemini 3.1 Pro, но оба варианта модели поддались убедительным деловым просьбам.
Общая причина двух атак одна. OpenClaw одновременно читает закрытые данные, принимает недоверенный ввод и умеет отправлять информацию наружу. В такой связке отравленный контакт и дружелюбное письмо приводят к одному результату, потому что права агента становятся правами атакующего . Varonis сопоставляет обе атаки с тем, что Саймон Уиллисон называет « смертельной триадой» .
Похожая проблема проявилась и в расширениях OpenClaw для мессенджеров. Отдельный анализ InfoSec Write-ups обнаружил пять уязвимостей в каналах Slack, Discord, Matrix, Zalo и Microsoft Teams. В каждом случае список разрешённых пользователей проверялся по изменяемому отображаемому имени, а не по стабильному идентификатору. Злоумышленник мог переименоваться под доверенного пользователя и получить возможность управлять агентом. Эти ошибки уже исправлены.
OpenClaw предоставляет широкий доступ к файлам, командной оболочке и более чем 20 платформам обмена сообщениями, поэтому цена ошибки оказывается высокой. Управление по защите персональных данных Нидерландов ранее заняло жёсткую позицию и рекомендовало пользователям и организациям не запускать OpenClaw на системах с чувствительной информацией, указывая на риск утечек и захвата учётных записей.
Одного обновления в такой ситуации недостаточно. Исправление версии 2026.4.23 закрывает конкретную ошибку с объектами сообщений, но фишинговые атаки через обычные письма требуют другой архитектуры. Агенту нельзя давать право впервые писать на незнакомые адреса без одобрения человека. Доступ к подключённым сервисам должен зависеть от того, откуда пришла задача. Почтовый ящик, который принимает внешние письма, не должен одновременно открывать агенту всю клиентскую базу. Высокорисковые действия должны ждать ручного подтверждения – например, когда агент пересылает учётные данные или проводит финансовые операции.
Обе команды приходят к одной мысли, что ИИ-агент с доступом к системам нельзя считать самостоятельным защитным инструментом. Без ограничений он больше похож на младшего сотрудника с большими правами, сильным желанием помочь и слабым чутьём на странные просьбы. Пока универсального решения для такой модели нет, поэтому владельцам OpenClaw остаются обновления, изоляция, строгие права и обязательное подтверждение опасных действий человеком.
- Источник новости
- www.securitylab.ru
