Даследчыкі SecurityScorecard выявілі, што дзясяткі тысяч сістэм на базе агентнага ШІ-фрэймворка OpenClaw адкрытыя для атак. Прычынай сталі няправільна наладжаныя панэлі кіравання, састарэлае ПЗ і наяўнасць вядомых уразлівасцяў.
Даследчыкі SecurityScorecard выявілі, што дзясяткі тысяч сістэм на базе агентнага ШІ-фрэймворка OpenClaw адкрытыя для атак. Прычынай сталі няправільна наладжаныя панэлі кіравання, састарэлае ПЗ і наяўнасць вядомых уразлівасцяў.
OpenClaw — гэта платформа для аўтаномных ШІ-агентаў, якія могуць выконваць каманды, падлучацца да знешніх сэрвісаў, працаваць з файламі і дзейнічаць ад імя карыстальніка ці арганізацыі. Такія сістэмы часта маюць шырокі ўзровень доступу — ад API-ключоў да карпаратыўных акаўнтаў — таму іх кампраметацыя можа прывесці да сур’ёзных наступстваў.
Паводле дадзеных даследчай групы STRIKE, у сетцы выяўлена больш за 42 000 публічна даступных інстансаў OpenClaw у 80+ краінах. Каля 15 000 з іх уразлівыя да аддаленага выканання кода — тыпу атакі, які дазваляе зламысніку цалкам перахапіць кантроль над серверам. Больш за траціну выяўленых сістэм звязаны з інфраструктурай, якая раней фігуравала ў ўцечках ці інцыдэнтах бяспекі.
Асноўная праблема звязана з наладкамі па змаўчанні. Пасля ўсталявання OpenClaw нярэдка прывязвае інтэрфейс кіравання да ўсіх сеткавых падлучэнняў, робячы яго даступным з публічнага інтэрнэту. Без дадатковых абмежаванняў любы можа паспрабаваць атрымаць доступ да панэлі.
Дадатковую рызыку стварае «фрагментацыя версій»: большасць выяўленых сістэм працуюць на старых зборках, выпушчаных да выпраўлення крытычных уразлівасцяў. Толькі каля пятай часткі інстансаў выкарыстоўваюць актуальную версію.
Даследчыкі вылучылі тры ўразлівасці высокай ступені крытычнасці (ацэнка да 8.8 па шкале CVSS). Іх эксплуатацыя можа дазволіць атакуючаму атрымаць API-ключы, OAuth-токены і паролі, перахапіць SSH-доступ і кіраваць браўзернымі сесіямі. Таксама зламыснік можа адпраўляць паведамленні ад імя ахвяры ў Telegram, WhatsApp ці Discord, кантраляваць аўтаматызаваныя працэсы і вымаць дадзеныя, якія агент захоўвае аб карыстальніку
Асаблівасць агентных сістэм у тым, што пасля ўзлому зламыснік атрымлівае не проста доступ да дадзеных, а інструмент для выканання дзеянняў. ШІ-агент можа запускаць каманды, узаемадзейнічаць з іншымі сэрвісамі і выконваць аперацыі з «легітымным» статусам, з-за чаго атакі складаней выявіць.
Даследаванне таксама паказала канцэнтрацыю ўразлівых усталёвак у буйных воблачных правайдэраў, што гаворыць аб маштабным паўторным выкарыстанні небяспечных шаблонаў разгортвання. Колькасць адкрытых інстансаў працягвае расці хутчэй, чым карыстальнікі паспяваюць іх абараняць.
Асобную заклапочанасць выклікае ўцечка ўліковых дадзеных праз публічныя рэпазіторыі: распрацоўшчыкі нярэдка выпадкова публікуюць канфігурацыйныя файлы з токенамі і ключамі доступу. Нават пасля выдалення такія дадзеныя могуць захоўвацца ў гісторыі Git.
Эксперты ўказваюць, што OpenClaw — не ўнікальная праблема, а сігнал больш шырокай тэндэнцыі. Па меры распаўсюджвання агентнага ШІ кампаніі прадастаўляюць сістэмам усё больш паўнамоцтваў — доступ да файлаў, сетак і лічбавай ідэнтычнасці — часта без паўнавартаснай праверкі бяспекі.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.