L’Equip Tècnic de Resposta a Emergències de la Xarxa Informàtica Nacional de la Xina (CNCERT)ha emès un avís sobre la seguretat derivada de l’ús d’OpenClaw (anteriorment Clawdbot i Moltbot), un agent d’intel·ligència artificial (IA) autònom de codi obert i autoallotjat.

En una publicació compartida a WeChat, CNCERT va assenyalar que les «configuracions de seguretat predeterminades inherentment febles de la plataforma», juntament amb el seu accés privilegiat al sistema per facilitar les capacitats d’execució autònoma de tasques, podrien ser explotades per actors malintencionats per prendre el control del punt final.

Això inclou els riscos derivats de les injeccions ràpides, on les instruccions malicioses incrustades dins d’una pàgina web poden fer que l’agent filtri informació delicada si és enganyat per accedir i consumir el contingut.

També es fa referència a l’atac com a injecció indirecta de prompts (IDPI) o injecció de prompts entre dominis (XPIA), com a adversaris, en lloc d’interactuar directament amb un model de llenguatge gran (LLM), convertir en armes funcions benignes de la IA, com el resum de pàgines web o l’anàlisi de contingut, per executar instruccions manipulades. Tot això pot evadir els sistemes de revisió d’anuncis basats en IA i influir en les decisions de contractació fins a l’enverinament per optimització de motors de cerca (SEO) i generar respostes esbiaixades suprimint les ressenyes negatives.

OpenAI, en una entrada de blog publicada a principis d’aquesta setmana, va dir que els atacs d’estil d’injecció ràpida estan evolucionant més enllà de només col·locar instruccions en contingut extern per incloure elements d’enginyeria social.

Va afirmar que «Els agents de la IA són cada cop més capaços de navegar per la xarxa, recuperar informació i dur a terme accions en nom d’un usuari. Aquestes capacitats són útils, però també creen noves maneres per tal que els atacants intentin manipular el sistema.»

Els riscos d’injecció ràpida a OpenClaw no són hipotètics. El mes passat, investigadors de PromptArmor van descobrir que la funció de previsualització d’enllaços en aplicacions de missatgeria com ara Telegram o Discord es pot convertir en una via d’exfiltració de dades quan es comunica amb OpenClaw mitjançant una injecció indirecta de prompts.

La idea, a un nivell general, és enganyar l’agent de la IA perquè generi un URL controlat per l’atacant que, quan es representa a l’aplicació de missatgeria com a vista prèvia d’enllaç, fa que transmeti automàticament dades confidencials a aquest domini sense haver de fer clic a l’enllaç.

«Això significa que en sistemes d’agents amb previsualitzacions d’enllaços, l’exfiltració de dades es pot produir immediatament després que l’agent de la IA respongui a l’usuari, sense que l’usuari hagi de fer clic a l’enllaç maliciós», va dir l’empresa de seguretat d’IA. «En aquest atac, l’agent és manipulat per construir un URL que fa servir el domini d’un atacant, amb paràmetres de consulta generats dinàmicament afegits que contenen dades delicades que el model coneix sobre l’usuari.»

A més de les indicacions fraudulentes, CNCERT també ha destacat tres altres preocupacions:

• La possibilitat que OpenClaw pugui eliminar inadvertidament i irrevocablement informació crítica a causa d’una mala interpretació de les instruccions de l’usuari.
• Els actors d’amenaces poden pujar habilitats malicioses a repositoris com ara ClawHub que, quan s’instal·len, executen ordres arbitràries o implementen programari maliciós.
• Els atacants poden explotar vulnerabilitats de seguretat recentment revelades a OpenClaw per comprometre el sistema i filtrar dades delicades.

A més el CNCERT va afegir que «Per a sectors crítics, com ara les finances i l’energia, aquestes filtracions podrien provocar la filtració de dades empresarials bàsiques, secrets comercials i repositoris de codi, o fins i tot provocar la paralització completa de sistemes empresarials sencers, cosa que pot causar pèrdues incalculables.»

Per contrarestar aquests riscos, es recomana que els usuaris i les organitzacions reforcin els controls de la xarxa, evitin l’exposició del port de gestió per defecte d’OpenClaw a Internet, aïllin el servei en un contenidor, evitin emmagatzemar credencials en text sense format, descarreguin habilitats només des de canals de confiança, desactivin les actualitzacions automàtiques per a les habilitats i mantinguin l’agent actualitzat.

Bloomberg ha informat que aquest desenvolupament arriba quan les autoritats xineses han pres mesures per restringir a les empreses estatals i agències governamentals l’execució d’aplicacions de l’IA OpenClaw en ordinadors d’oficina en un intent de contenir els riscos de seguretat. També es diu que la prohibició s’estén a les famílies del personal militar.

La popularitat viral d’OpenClaw també ha fet que els actors d’amenaça aprofitin el fenomen per distribuir repositoris maliciosos de GitHub que es fan passar per instal·ladors d’OpenClaw per implementar lladres d’informació com ara Atomic i Vidar Stealer, i un programari maliciós proxy basat en Golang, conegut com a GhostSocks, i que fa servir instruccions  de tipus ClickFix.

«La campanya no es dirigia a una indústria en particular, sinó que es dirigia a usuaris que intentaven instal·lar OpenClaw amb els repositoris maliciosos que contenien instruccions de descàrrega tant per a entorns Windows com macOS», va dir Huntress. «El que va fer que això tingués èxit va ser que el programari maliciós estava allotjat a GitHub, i el repositori maliciós es va convertir en el suggeriment més ben valorat als resultats de cerca de la IA de Bing per a OpenClaw Windows.»