导读:OpenClaw的安全问题很严重,部署和使用需要谨慎。
OpenClaw 推出后,安全噩梦开始出现,目前已经出现近百个大小漏洞。最近安全研究员们披露了OpenClaw的更多问题——OpenClaw是一个基于vibecoded技术开发的AI代理农场,此前曾用名Clawdbot和Moltbot。具体来说,这个开源代理平台存在间接提示注入漏洞,攻击者可以利用该漏洞在用户计算机上植入后门,窃取敏感数据或执行破坏性操作。此外,OpenClaw 的 ClawHub 市场充斥着恶意软件和泄露敏感凭据的代理技能。Snyk 的安全工程师一篇文章中表示,他们扫描了包含整个 ClawHub 市场近 4,000 项技能,发现其中 283 项(约占整体的 7.1%)存在漏洞,均会泄露敏感凭证。它们都是功能性强、流行的代理技能(如 moltyverse-email 和 youtube-data),指示AI 代理错误处理机密信息,通过 LLM 的上下文窗口传递 API 密钥、密码,甚至信用卡号,并以明文形式输出日志。此安全漏洞是由于 SKILL.md 上的指令以及开发人员将 AI 代理视为本地脚本造成的。当有人提示代理“使用某 API 密钥”时,模型会将密钥保存在内存中,而该对话历史记录则会泄露给 OpenAI、Anthropic、千问、豆包以及百度等模型提供商,或以明文形式出现在应用程序日志中。LLM也会对用户的信用卡号进行令牌化,将财务信息发送给模型提供商。随后,系统会提示用户:“请查看您上次购买的日志并再次输入卡片信息”,从而将用户的信用卡信息暴露给攻击者,导致金融欺诈其它盗窃行为。另一家研究机构Snyk 发现整个Opelaw生态系统中存在大量恶意软件,包括 76 个旨在窃取凭证、安装后门和数据泄露的恶意代码。人工智能安全公司 Zenity 的研究部门还演示了攻击者如何利用间接提示注入技术在 OpenClaw 用户的计算机上植入后门。若人工智能代理与其他生产力工具(例如 Google Workspace 、Slack、企微以及飞书)集成,OpenClaw 能够直接访问邮件、日历、文档和IM聊天记录。研究人员写道: “一旦集成完成,OpenClaw 就开始接收并回复来自攻击者控制的机器人的消息。从这一阶段开始,攻击者将完全通过新添加的聊天频道与 OpenClaw 进行交互。”这意味着攻击者可以通过机器人发出命令,要求 OpenClaw 读取用户桌面上的所有文件,窃取其内容并将其全部发送到攻击者控制的服务器,然后永久删除所有文件。或者,他们可以指示代理下载并执行 Sliver 命令与控制 (C2) 信标到受害者的计算机上,从而实现长期远程控制。此时,攻击者甚至不需要 AI 代理程序,而是可以利用后门和 C2 通道进行横向移动、权限提升、凭证窃取,甚至部署不易觉察的勒索软件。OpenClaw的安全问题严重,开发者、爱好者部署和使用需谨慎。作者:洛逸
本篇文章为 @ 场长 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。
