Национальная техническая группа реагирования на компьютерные инциденты Китая (CNCERT) выпустила серьёзное предупреждение о безопасности, касающееся OpenClaw — автономного ИИ-агента с открытым исходным кодом для самостоятельного размещения. Агентство отметило, что изначально слабые конфигурации безопасности платформы по умолчанию в сочетании с её привилегированным доступом к системе, необходимым для автономного выполнения задач, создают мощный вектор для атаки. Злоумышленники могут использовать эти недостатки для захвата контроля над конечной точкой, превращая инструмент, предназначенный для автоматизации, в шлюз для компрометации. Это предупреждение подчёркивает растущие риски, поскольку организации быстро внедряют мощных автономных ИИ-агентов в свои рабочие процессы без соответствующего усиления безопасности.
Основным вектором угрозы является инъекция промптов (Prompt Injection), в частности, косвенная или междоменная инъекция (IDPI/XPIA). В этой сложной атаке злоумышленники не взаимодействуют напрямую с большой языковой моделью (LLM). Вместо этого они используют в качестве оружия безобидные ИИ-функции — такие как суммаризация веб-страниц или анализ контента — путём внедрения вредоносных инструкций в, казалось бы, обычный веб-контент. Если агент OpenClaw обманным путём заставить получить доступ и обработать этот отравленный контент, его можно принудить к утечке конфиденциальных данных, манипулированию внутренними системами или выполнению несанкционированных команд. Риски выходят за рамки кражи данных и включают в себя обход систем проверки на основе ИИ, влияние на автоматизированные системы найма, отравление SEO и генерацию предвзятых результатов путём подавления критической информации.
Опасности не являются чисто теоретическими. В прошлом месяце кибербезопасностная компания PromptArmor продемонстрировала практическую эксплуатацию уязвимости, при которой функция предварительного просмотра ссылок в популярных мессенджерах, таких как Telegram и Discord, может быть использована в качестве оружия. Создав вредоносную ссылку, злоумышленники могут использовать косвенную инъекцию промптов для установления скрытого канала эксфильтрации данных при взаимодействии с экземпляром OpenClaw. Это открытие подтверждает опасения CNCERT и иллюстрирует, как, казалось бы, безобидные функции взаимосвязанных приложений могут стать критическими уязвимостями в операционной цепочке ИИ-агента.
Отрасль начинает замечать эту развивающуюся угрозу. Компания OpenAI в недавнем сообщении блога подтвердила, что атаки с инъекцией промптов становятся всё более изощрёнными, теперь включая элементы социальной инженерии для манипулирования ИИ-агентами, которые просматривают веб-страницы и действуют от имени пользователя. Эта эволюция означает переход от простой вставки команд к сложным, контекстно-зависимым атакам, использующим доверенное положение агента. Предупреждение об OpenClaw служит критическим примером, подчёркивающим настоятельную необходимость внедрения принципов безопасности на этапе проектирования, строгого контроля доступа и постоянного тестирования на устойчивость к атакам для всех автономных ИИ-систем перед их развёртыванием в чувствительных средах.
