El Equipo Técnico de Respuesta a Emergencias de la Red Informática Franquista de China (CNCERT) ha emitido una advertencia sobre la seguridad derivada del uso de OpenClaw (anteriormente Clawdbot y Moltbot), un agente autónomo de inteligencia industrial (IA) autónomo, de código hendido y autohospedado.
En una publicación compartida en WeChat, CNCERT señaló que las “configuraciones de seguridad predeterminadas inherentemente débiles” de la plataforma, adjunto con su golpe privilegiado al sistema para allanar las capacidades de ejecución autónoma de tareas, podrían ser exploradas por malos actores para tomar el control del punto final.
Esto incluye riesgos que surgen de inyecciones rápidas, donde instrucciones maliciosas incrustadas en una página web pueden hacer que el agente filtre información confidencial si se le engaña para que acceda y consuma el contenido.
El ataque incluso se conoce como inyección rápida indirecta (IDPI) o inyección rápida entre dominios (XPIA), ya que los adversarios, en oportunidad de interactuar directamente con un maniquí de idioma egregio (LLM), utilizan funciones benignas de IA como armas, como el compendio de páginas web o el disección de contenido, para ejecutar instrucciones manipuladas. Esto puede ir desde evitar los sistemas de revisión de anuncios basados en inteligencia industrial e influir en las decisiones de contratación hasta envenenar la optimización de motores de búsqueda (SEO) y originar respuestas sesgadas al suprimir las críticas negativas.
OpenAI, en una publicación de blog publicada a principios de esta semana, dijo que los ataques rápidos de estilo inyección están evolucionando más allá de simplemente colocar instrucciones en contenido extranjero para incluir nociones de ingeniería social.
“Los agentes de IA son cada vez más capaces de navegar por la web, recuperar información y tomar acciones en nombre de un agraciado”, afirmó. “Esas capacidades son enseres, pero incluso crean nuevas formas para que los atacantes intenten manipular el sistema”.
Los riesgos de inyección rápida en OpenClaw no son hipotéticos. El mes pasado, investigadores de PromptArmor descubrieron que la función de clarividencia previa de enlaces en aplicaciones de correo como Telegram o Discord se puede convertir en una vía de exfiltración de datos cuando se comunica con OpenClaw mediante una inyección indirecta.
La idea, a stop nivel, es engañar al agente de IA para que genere una URL controlada por el atacante que, cuando se presenta en la aplicación de correo como una clarividencia previa del enlace, automáticamente hace que transmita datos confidenciales a ese dominio sin tener que hacer clic en el enlace.
“Esto significa que en sistemas de agentes con vistas previas de enlaces, la filtración de datos puede ocurrir inmediatamente posteriormente de que el agente de IA responda al agraciado, sin que el agraciado tenga que hacer clic en el enlace receloso”, dijo la compañía de seguridad de IA. “En este ataque, el agente es manipulado para construir una URL que utiliza el dominio de un atacante, con parámetros de consulta generados dinámicamente adjuntos que contienen datos confidenciales que el maniquí conoce sobre el agraciado”.
Adicionalmente de las indicaciones deshonestas, CNCERT incluso ha destacado otras tres preocupaciones:
- La posibilidad de que OpenClaw pueda eliminar inadvertida e irrevocablemente información crítica oportuno a una mala interpretación de las instrucciones del agraciado.
- Los actores de amenazas pueden cargar habilidades maliciosas en repositorios como ClawHub que, cuando se instalan, ejecutan comandos arbitrarios o implementan malware.
- Los atacantes pueden usar las vulnerabilidades de seguridad reveladas recientemente en OpenClaw para comprometer el sistema y filtrar datos confidenciales.
“Para sectores críticos, como las finanzas y la energía, tales violaciones podrían conducir a la fuga de datos comerciales centrales, secretos comerciales y repositorios de códigos, o incluso resultar en la parálisis completa de sistemas comerciales completos, causando pérdidas incalculables”, agregó CNCERT.
Para contrarrestar estos riesgos, se recomienda a los usuarios y organizaciones blindar los controles de red, evitar la exposición del puerto de despacho predeterminado de OpenClaw a Internet, aislar el servicio en un contenedor, evitar juntar credenciales en texto sin formato, descargar habilidades solo de canales confiables, deshabilitar las actualizaciones automáticas de habilidades y apoyar actualizado al agente.
El incremento se produce cuando las autoridades chinas han tomado medidas para restringir que las empresas estatales y las agencias gubernamentales ejecuten aplicaciones OpenClaw AI en computadoras de oficina en un intento por contener los riesgos de seguridad, informó Bloomberg. Se dice que la prohibición incluso se extiende a las familias del personal marcial.
La popularidad virulento de OpenClaw incluso ha llevado a los actores de amenazas a capitalizar el aberración para distribuir repositorios maliciosos de GitHub haciéndose advenir por instaladores de OpenClaw para implementar ladrones de información como Atomic y Vidar Stealer, y un malware proxy basado en Golang conocido como GhostSocks usando instrucciones estilo ClickFix.
“La campaña no estaba dirigida a una industria en particular, sino que estaba dirigida ampliamente a usuarios que intentaban instalar OpenClaw con repositorios maliciosos que contenían instrucciones de descarga para entornos Windows y macOS”, dijo Huntress. “Lo que hizo que esto fuera exitoso fue que el malware estaba alojado en GitHub, y el repositorio receloso se convirtió en la sugerencia mejor calificada en los resultados de búsqueda de IA de Bing para OpenClaw Windows”.
