北京
又一天,又出现了新的安全漏洞——这次是在安全噩梦般的OpenClaw智能体平台上发现的问题。
在过去两天里,研究人员披露了OpenClaw的更多安全问题。OpenClaw是一个开源智能体平台,此前曾被称为Clawdbot和Moltbot,以其编码复杂和安全性极差而闻名。研究人员表示,该平台容易受到间接提示注入攻击,攻击者可以通过这种方式在用户机器上植入后门,进而窃取敏感数据或执行破坏性操作。
此外,其他威胁猎人最近发现,OpenClaw的ClawHub市场充斥着恶意软件和泄露智能体技能,这些技能会暴露敏感凭证。
在周四的博客中,Snyk工程师表示他们扫描了整个ClawHub市场,该市场包含近4000个技能,其中283个(约占整个注册表的7.1%)存在暴露敏感凭证的缺陷。
"这些是功能齐全、广受欢迎的智能体技能(如moltyverse-email和youtube-data),它们指导生成式AI智能体错误处理机密信息,迫使它们以明文形式通过大语言模型的上下文窗口和输出日志传递API密钥、密码,甚至信用卡号码,"工程师写道。
这个安全缺陷源于SKILL.md说明文件,以及开发人员将智能体当作本地脚本来处理。
当有人提示智能体"使用这个API密钥"时,模型会将密钥保存在内存中,这些对话历史可能泄露给OpenAI或Anthropic等模型提供商,或者以明文形式出现在应用程序日志中。
"也许最令人担忧的是buy-anything技能(v2.0.0版本),"工程师写道,"它指示智能体收集信用卡详细信息来进行购买。"
为了实现这一功能,大语言模型对用户的信用卡号码进行Token化处理,从而将金融信息发送给模型提供商。后续的提示可能会要求智能体:"检查你最后一次购买的日志并重复卡片详细信息",这样就会向攻击者暴露用户的信用卡信息,从而导致金融欺诈和盗窃。
Snyk的研究紧随该开发者导向安全公司周三发布的类似博客,该博客发现整个生态系统中存在恶意软件污染的技能,包括76个恶意载荷,专门用于凭证盗窃、后门安装和数据泄露。
同样在周三,AI安全公司Zenity的研究部门演示了攻击者如何使用间接提示注入在OpenClaw用户机器上植入后门。这里的问题源于智能体与Google Workspace和Slack等其他生产力工具的集成,允许OpenClaw访问电子邮件、日历、文档和企业Slack聊天。
在Zenity的概念验证中,攻击从Google文档开始,假设OpenClaw实例已经与用户的Google环境集成——尽管威胁猎人指出Google Workspace集成并不是攻击的先决条件。任何受信任的第三方集成都可以,因为这种初始集成只需要用来传递初始恶意文档或其他类型的内容。
在Google文档示例中,它包含一个间接提示注入载荷,指示OpenClaw创建与Telegram机器人的新集成。
"一旦创建集成,OpenClaw开始接受并响应来自攻击者控制的机器人的消息,"研究人员写道,"从这个阶段开始,攻击者完全通过新添加的聊天频道与OpenClaw交互。"
这意味着攻击者可以通过机器人发出命令,要求OpenClaw读取用户桌面上的所有文件,窃取其内容并将所有内容发送到攻击者控制的服务器,然后永久删除所有文件。
或者,他们可以指示智能体下载并在受害者计算机上执行Sliver命令和控制(C2)信标,以获得长期远程访问权限。此时,攻击者甚至不再真正需要智能体,而可以使用后门和C2通道进行横向移动、权限提升、凭证收集,甚至部署勒索软件。
邪恶的可能性真的是无穷无尽的。
The Register就这些安全问题联系了OpenClaw及其开发者Peter Steinberger,这些问题已成为OpenClaw每日大量安全漏洞中的最新一批,但没有立即收到回复。如果收到回复,我们将更新这个故事。
Q&A
Q1:OpenClaw存在哪些主要安全风险?
A:OpenClaw存在间接提示注入漏洞,攻击者可以植入后门窃取敏感数据。ClawHub市场中7.1%的技能存在暴露API密钥、密码和信用卡号码等敏感凭证的缺陷。还有76个恶意载荷专门用于凭证盗窃、后门安装和数据泄露。
Q2:攻击者如何通过OpenClaw窃取用户信息?
A:攻击者可以通过Google文档等方式植入间接提示注入载荷,指示OpenClaw创建与攻击者控制的Telegram机器人的集成。然后通过机器人命令读取用户文件、窃取内容并发送到攻击者服务器,甚至下载恶意软件获得长期远程控制权限。
Q3:为什么OpenClaw的技能会泄露敏感信息?
A:这是因为SKILL.md说明文件存在缺陷,开发人员将智能体当作本地脚本处理。当用户提供API密钥时,大语言模型会将其保存在内存中,这些信息可能泄露给模型提供商或以明文形式出现在日志中,特别是像buy-anything这样的技能会直接处理信用卡信息。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
