Уязвимость OpenClaw: как вредоносные сайты могут получить контроль над AI-агентами разработчиков без взаимодействия пользователя

Исследователи из Oasis Security сообщили об уязвимости в OpenClaw — open-source фреймворке для AI-агентов. По их данным, эта уязвимость может позволить злоумышленникам через вредоносные веб-сайты получить контроль над AI-агентами разработчиков без необходимости установки плагинов, расширений или какого-либо действия со стороны пользователя. Подробнее о технических деталях и подтверждениях можно найти в официальном advisories Oasis Security от 12 мая 2024 года.

OpenClaw представляет собой платформу для создания и управления автономными AI-агентами, которые помогают автоматизировать задачи разработки и другие процессы. Согласно исследователям, уязвимость затрагивает версии OpenClaw с 1.3.0 по 1.5.2 и связана с небезопасной обработкой запросов от внешних ресурсов. В результате злоумышленники могут в определённых условиях заставить AI-агента выполнять нежелательные действия в рамках его прав, что потенциально открывает возможности для атак. На момент публикации разработчики OpenClaw выпустили патч версии 1.5.3, устраняющий данную уязвимость.

Особенности уязвимости

• Уязвимость может быть эксплуатирована без взаимодействия пользователя: достаточно посетить вредоносный сайт, чтобы AI-агент мог быть скомпрометирован.
• Не требуется установка дополнительных компонентов, таких как плагины или расширения.
• Затрагиваются версии OpenClaw с 1.3.0 по 1.5.2 (подробности в advisories).
• Злоумышленник может заставить AI-агента выполнять нежелательные действия и инструментальные вызовы в рамках прав агента, включая управление задачами и доступ к ресурсам, однако прямой удалённый запуск кода на хосте не подтверждён.
• На момент публикации патч версии 1.5.3 уже доступен и рекомендуется к установке.

Почему это важно для организаций, управляющих внешней поверхностью атаки

Современные организации всё активнее используют AI-агентов для автоматизации рабочих процессов, в том числе в области разработки и безопасности. OpenClaw как платформа для таких агентов становится значимой частью инфраструктуры. Уязвимость, которая может позволить удалённо получить контроль над AI-агентами без взаимодействия пользователя, расширяет потенциальную поверхность атаки.

Для команд безопасности это означает:

• Риск компрометации внутренних автоматизированных процессов через внешние веб-ресурсы.
• Возможность использования AI-агентов в качестве точки входа для дальнейших атак на корпоративную сеть.
• Угроза утечки данных и нарушения целостности систем, где задействованы AI-агенты.

Отметим, что по информации исследователей, атака может проходить без явных признаков для пользователя, что усложняет своевременное обнаружение и реагирование.

Практические рекомендации для команд безопасности

• Мониторинг и аудит AI-агентов: Регулярно проверяйте активность и поведение AI-агентов, особенно тех, которые взаимодействуют с внешними ресурсами.
• Ограничение доступа: По возможности изолируйте AI-агентов в сегментированной среде с минимальными правами для снижения потенциального ущерба.
• Обновление и патчи: Следите за обновлениями OpenClaw и оперативно применяйте патчи, выпущенные разработчиками после обнаружения уязвимости.
• Обучение сотрудников: Информируйте команды разработчиков и безопасности о рисках, связанных с использованием AI-агентов, и о необходимости осторожного взаимодействия с внешними сайтами.
• Использование платформ EASM: Инструменты для управления внешней поверхностью атаки помогут выявлять и контролировать потенциально опасные взаимодействия AI-агентов с внешними ресурсами.
• Проактивное тестирование: Внедряйте процедуры тестирования безопасности AI-агентов, включая проверку на подобные уязвимости.

Учитывая растущую роль AI-агентов в бизнес-процессах, обеспечение их безопасности становится важной задачей для организаций, стремящихся минимизировать риски внешних атак и сохранить контроль над своей инфраструктурой.

---