OpenClawAI pomoćnik otvorenog koda, ranije poznat kao Clawdbot, a zatim Moltbot, prešao je 180.000 GitHub zvijezda i izvukao 2 milijuna posjetitelja u jednom tjednuprema kreatoru Peteru Steinbergeru.
Sigurnosni istraživači koji su skenirali internet pronašli su preko 1.800 izloženih instanci curenje API ključeva, povijesti razgovora i vjerodajnica računa. Projekt je dvaput rebrendiran posljednjih tjedana zbog sporova oko zaštitnih znakova.
Grassroots agentic AI pokret također je najveća neupravljana površina za napad koju većina sigurnosnih alata ne može vidjeti.
Sigurnosni timovi poduzeća nisu implementirali ovaj alat. Kao ni njihovi vatrozidi, EDR ili SIEM. Kada se agenti pokreću na BYOD hardveru, sigurnosni nizovi se zaslijepe. To je jaz.
Sadržaj objave
- 1 Zašto tradicionalni perimetri ne mogu vidjeti agentske AI prijetnje
- 2 Zašto ovo nije ograničeno na programere entuzijaste
- 3 Ono što je Shodan skenirao otkrilo je o izloženim pristupnicima
- 4 Zašto Cisco to naziva ‘sigurnosnom noćnom morom’
- 5 Zašto se vidljivost sigurnosnih timova upravo pogoršala
- 6 Što voditelji sigurnosti moraju učiniti u ponedjeljak ujutro
- 7 Zaključak
Zašto tradicionalni perimetri ne mogu vidjeti agentske AI prijetnje
Većina obrambenih sustava poduzeća tretira agentsku umjetnu inteligenciju kao još jedan razvojni alat koji zahtijeva standardne kontrole pristupa. OpenClaw dokazuje da je pretpostavka arhitektonski pogrešna.
Agenti rade unutar ovlaštenih dopuštenja, izvlače kontekst iz izvora na koje napadač utječe i izvršavaju akcije autonomno. Vaš perimetar ne vidi ništa od toga. Pogrešan model prijetnje znači pogrešne kontrole, što znači slijepe točke.
"AI runtime napadi su semantički, a ne sintaktički," Carter Rees, potpredsjednik odjela za umjetnu inteligenciju Ugledrekao je VentureBeat. "Bezazlena fraza kao što je ‘Ignoriraj prethodne upute’ može nositi razoran teret poput prekoračenja međuspremnika, ali nema ništa zajedničko s poznatim potpisima zlonamjernog softvera."
Simon Willison, programer i istraživač umjetne inteligencije koji je skovao taj izraz "brzo ubrizgavanje," opisuje ono što on naziva "smrtonosna trifekta" za AI agente. Oni uključuju pristup privatnim podacima, izloženost nepouzdanom sadržaju i mogućnost komuniciranja izvana. Kada se ove tri mogućnosti kombiniraju, napadači mogu prevariti agenta da pristupi privatnim informacijama i pošalje im ih. Willison upozorava da se sve to može dogoditi bez ijednog poslanog upozorenja.
OpenClaw ima sva tri. Čita e-poštu i dokumente, izvlači informacije s web stranica ili dijeljenih datoteka i djeluje slanjem poruka ili pokretanjem automatiziranih zadataka. Vatrozid organizacije vidi HTTP 200. SOC timovi vide svoje ponašanje procesa praćenja EDR-a, a ne semantički sadržaj. Prijetnja je semantička manipulacija, a ne neovlašteni pristup.
Zašto ovo nije ograničeno na programere entuzijaste
Znanstvenici IBM-ovog istraživanja Kaoutar El Maghraoui i Marina Danilevsky analizirali su OpenClaw ovaj tjedan i zaključili dovodi u pitanje hipotezu da autonomni agenti umjetne inteligencije moraju biti vertikalno integrirani. Alat to pokazuje "ovaj slobodni sloj otvorenog koda može biti nevjerojatno moćan ako ima puni pristup sustavu" te da je stvaranje agenata s istinskom autonomijom "nije ograničeno na velika poduzeća" ali "također može biti vođena zajednicom."
To je upravo ono što ga čini opasnim za sigurnost poduzeća. Vrlo sposoban agent bez odgovarajućih sigurnosnih kontrola stvara velike ranjivosti u radnom kontekstu. El Maghraoui je naglasio da se pitanje pomaknulo s toga mogu li otvorene agentske platforme funkcionirati na "koja je vrsta integracije najvažnija i u kojem kontekstu." Sigurnosna pitanja više nisu izborna.
Ono što je Shodan skenirao otkrilo je o izloženim pristupnicima
Istraživač sigurnosti Jamieson O’Reilly, osnivač tvrtke red-teaming Dvuln, identificirao izložene OpenClaw poslužitelje pomoću Shodana traženjem karakterističnih HTML otisaka. Jednostavna pretraga za "Kontrola Clawdbota" dao je stotine rezultata u roku od nekoliko sekundi. Od instanci koje je ručno ispitao, osam je bilo potpuno otvoreno bez ikakve provjere autentičnosti. Ove su instance omogućile puni pristup pokretanju naredbi i pregledu konfiguracijskih podataka svakome tko ih otkrije.
O’Reilly je pronašao Anthropic API ključeve. Telegram bot tokeni. Slack OAuth vjerodajnice. Dovršite povijest razgovora na svim integriranim platformama za chat. Dvije su instance odustale od višemjesečnih privatnih razgovora u trenutku kada je WebSocket rukovanje dovršeno. Mreža vidi lokalni promet. Sigurnosni timovi nemaju uvid u to što agenti zovu ili koje podatke vraćaju.
Evo zašto: OpenClaw vjeruje lokalnom hostu prema zadanim postavkama bez potrebe za autentifikacijom. Većina implementacija nalazi se iza nginxa ili Caddyja kao obrnuti proxy, tako da svaka veza izgleda kao da dolazi s 127.0.0.1 i tretira se kao pouzdani lokalni promet. Vanjski zahtjevi odmah ulaze. O’Reillyjev specifični vektor napada je zakrpan, ali arhitektura koja je to omogućila nije se promijenila.
Zašto Cisco to naziva ‘sigurnosnom noćnom morom’
Ciscov tim za istraživanje AI prijetnji i sigurnosti objavio svoju procjenu ovaj tjedanpozivajući OpenClaw "prijelomni" iz perspektive sposobnosti ali "apsolutna noćna mora" iz sigurnosne perspektive.
Ciscov tim objavio je open-source Skener vještina koji kombinira statičku analizu, protok podataka o ponašanju, LLM semantičku analizu i VirusTotal skeniranje za otkrivanje vještina zlonamjernog agenta. Testirao je vještinu treće strane tzv "Što bi Elon učinio?" protiv OpenClaw. Presuda je bila odlučujući neuspjeh. Pojavilo se devet sigurnosnih nalaza, uključujući dva kritična i pet problema visoke ozbiljnosti.
Vještina je bila funkcionalno malware. Naložio je botu da izvrši naredbu curl, šaljući podatke vanjskom poslužitelju kojim upravlja autor vještine. Tiho izvršenje, nulta svijest korisnika. Vještina je također primijenila izravno brzo ubrizgavanje kako bi se zaobišle sigurnosne smjernice.
"LLM ne može inherentno razlikovati pouzdane korisničke upute od nepouzdanih dohvaćenih podataka," rekao je Rees. "Može izvršiti ugrađenu naredbu, učinkovito postajući ‘zbunjeni zamjenik’ koji djeluje u ime napadača." AI agenti s pristupom sustavu postaju tajni kanali curenja podataka koji zaobilaze tradicionalni DLP, proxy i nadzor krajnjih točaka.
Zašto se vidljivost sigurnosnih timova upravo pogoršala
Kontrolni jaz se širi brže nego što većina sigurnosnih timova shvaća. Od petka, agenti temeljeni na OpenClawu formiraju vlastite društvene mreže. Komunikacijski kanali koji postoje u potpunosti izvan ljudske vidljivosti.
Moltbook naplaćuje se kao "društvena mreža za AI agente" gdje "ljudi su dobrodošli promatrati." Objave prolaze kroz API, a ne kroz sučelje vidljivo ljudima. Scott Alexander iz Astral Codex Ten potvrdio da nije trivijalno izmišljen. Zamolio je vlastitog Claudea da sudjeluje i "komentari su bili prilično slični ostalima." Jedan je čovjek potvrdio da je njihov agent pokrenuo zajednicu na temu religije "dok sam spavao."
Sigurnosne implikacije su trenutne. Da bi se pridružili, agenti izvršavaju vanjske skripte ljuske koje prepisuju njihove konfiguracijske datoteke. Objavljuju o svom radu, navikama svojih korisnika i svojim pogreškama. Curenje konteksta kao stolni ulozi za sudjelovanje. Svako brzo ubacivanje u Moltbook post kaskadno se slijeva u druge mogućnosti vašeg agenta putem MCP veza.
Moltbook je mikrokozmos šireg problema. Ista autonomija koja čini agente korisnima čini ih ranjivima. Što više mogu napraviti neovisno, to veću štetu može prouzročiti kompromitirani skup instrukcija. Krivulja sposobnosti znatno nadmašuje sigurnosnu krivulju. A ljudi koji izrađuju ove alate često su više uzbuđeni onim što je moguće nego zabrinuti onim što se može iskoristiti.
Što voditelji sigurnosti moraju učiniti u ponedjeljak ujutro
Vatrozidi web aplikacija vide agentski promet kao normalan HTTPS. EDR alati prate ponašanje procesa, a ne semantički sadržaj. Tipična korporativna mreža vidi lokalni promet kada agenti pozivaju MCP poslužitelje.
"Tretirajte agente kao proizvodnu infrastrukturu, a ne aplikaciju za produktivnost: najmanje privilegije, tokeni s opsegom, radnje s popisa dopuštenih, snažna autentifikacija pri svakoj integraciji i mogućnost revizije od kraja do kraja," Itamar Golan, osnivač Brza sigurnost (sada dio SentinelOne), rekao je VentureBeat u ekskluzivnom intervjuu.
Provjerite svoju mrežu za izložene agentske AI pristupnike. Pokrenite Shodan skeniranje prema vašim IP rasponima za potpise OpenClaw, Moltbot i Clawdbot. Ako vaši programeri eksperimentiraju, želite znati prije napadača.
Karta gdje Willisonova smrtonosna trifecta postoji u vašem okruženju. Identificirajte sustave koji kombiniraju pristup privatnim podacima, izloženost nepouzdanom sadržaju i vanjsku komunikaciju. Pretpostavimo da je svaki agent sa sva tri ranjiv dok se ne dokaže suprotno.
Pristup segmentu agresivan. Vaš agent ne treba pristup cijelom Gmailu, cijelom SharePointu, cijelom Slacku i svim vašim bazama podataka istovremeno. Tretirajte agente kao povlaštene korisnike. Bilježite radnje agenta, a ne samo autentifikaciju korisnika.
Skenirajte svoje agentske vještine za zlonamjerno ponašanje. Cisco je objavio svoj Skill Scanner kao otvoreni kod. Iskoristi ga. Neka od najštetnijih ponašanja skrivaju se unutar samih datoteka.
Ažurirajte svoje priručnike o odgovoru na incidente. Brzo ubrizgavanje ne izgleda kao tradicionalni napad. Nema potpisa zlonamjernog softvera, nema mrežne anomalije, nema neovlaštenog pristupa. Napad se događa unutar rezoniranja modela. Vaš SOC mora znati što tražiti.
Uspostavite politiku prije bana. Ne možete zabraniti eksperimentiranje a da ne postanete blokator produktivnosti kojim se vaši programeri kreću. Izgradite zaštitne ograde koje kanaliziraju inovacije, a ne da ih blokiraju. Shadow AI je već u vašem okruženju. Pitanje je imate li uvid u to.
Zaključak
OpenClaw nije prijetnja. To je signal. Sigurnosne rupe koje otkrivaju ove instance otkrit će svaku implementaciju agentske umjetne inteligencije koju vaša organizacija izgradi ili usvoji tijekom sljedeće dvije godine. Grassroots eksperimentiranje se već dogodilo. Kontrolne praznine su dokumentirane. Obrasci napada su objavljeni.
Sigurnosni model agentske umjetne inteligencije koji izgradite u sljedećih 30 dana određuje hoće li vaša organizacija bilježiti povećanje produktivnosti ili će postati sljedeće otkriće kršenja. Sada potvrdite svoje kontrole.
Povezani sadržaji
Pixel Watch 4 je “najpravedniji pametni sat”
Izgleda da je datum predstavljanja Galaxy S25 potvrđen
Predloženo smanjenje proračuna NASA -a ‘desemično bi američko vodstvo u svemiru’
Novi most povezuje čudnu matematiku beskonačnosti s informatikom
Alati za upravljanje i održavanje SSD diskova
Kraj AI skaliranja možda nije blizu: Evo što slijedi
