El Equipo de Tecnología de Respuesta a Emergencias de la Red Nacional de Computadoras de China (CNCERT) ha emitido una advertencia sobre la seguridad derivada del uso de OpenClaw (anteriormente Clawdbot y Moltbot), un agente autónomo de inteligencia artificial (IA) autónomo y de código abierto.
En una publicación compartida en WeChat, CNCERT señaló que partes malintencionadas podrían explorar la «configuración de seguridad predeterminada inherentemente débil» de la plataforma, junto con el acceso privilegiado al sistema para facilitar las capacidades de ejecución autónoma de tareas, para tomar el control de los puntos finales.
Esto incluye los riesgos que surgen de una inyección rápida. Con una inyección rápida, las instrucciones maliciosas integradas en una página web pueden exponer potencialmente información confidencial si se engaña a un agente para que acceda y consuma el contenido.
Este ataque también se conoce como inyección rápida indirecta (IDPI) o inyección rápida entre dominios (XPIA). En lugar de interactuar directamente con modelos de lenguaje a gran escala (LLM), los atacantes están armados con capacidades benignas de IA, como el resumen de páginas web y el análisis de contenido, para ejecutar instrucciones manipuladas. Esto va desde eludir los sistemas de revisión de anuncios basados en inteligencia artificial e influir en las decisiones de contratación hasta generar respuestas sesgadas mediante el envenenamiento de la optimización de motores de búsqueda (SEO) y la supresión de críticas negativas.
OpenAI dijo en una publicación de blog publicada a principios de esta semana que los ataques rápidos de estilo inyección están evolucionando para incluir elementos de ingeniería social más allá de simplemente colocar instrucciones en contenido externo.
«Los agentes de IA son cada vez más capaces de navegar por la web, obtener información y realizar acciones en nombre de los usuarios», dice el informe. «Si bien estas características son útiles, también crean nuevas formas para que los atacantes intenten manipular el sistema».
El riesgo de una inyección rápida en OpenClaw no es hipotético. El mes pasado, los investigadores de PromptArmor descubrieron que la función de vista previa de enlaces en aplicaciones de mensajería como Telegram y Discord podría convertirse en un vector de fuga de datos cuando se comunica con OpenClaw mediante una inyección indirecta.
En un nivel alto, se puede engañar a un agente de IA para que genere una URL controlada por un atacante que, cuando se muestra como una vista previa de un enlace en una aplicación de mensajería, envía automáticamente datos confidenciales a ese dominio sin necesidad de hacer clic en el enlace.
«Esto significa que los sistemas de agentes con vistas previas de enlaces no requieren que los usuarios hagan clic en enlaces maliciosos, y la filtración de datos puede ocurrir tan pronto como el agente de IA responde al usuario», dijo la firma de seguridad de IA. «En este ataque, el agente es manipulado para construir una URL que utiliza el dominio del atacante, a la que se le añaden parámetros de consulta generados dinámicamente que contienen datos confidenciales que el modelo conoce sobre el usuario».
Además de las indicaciones fraudulentas, CNCERT también destaca otras tres preocupaciones.
Posibilidad de que OpenClaw elimine accidental e irrevocablemente información confidencial debido a una mala interpretación de sus instrucciones. Los actores de amenazas pueden cargar habilidades maliciosas en repositorios como ClawHub que, una vez instalados, pueden ejecutar comandos arbitrarios o implementar malware. Los atacantes podrían aprovechar las vulnerabilidades de seguridad reveladas recientemente en OpenClaw para comprometer los sistemas y filtrar datos confidenciales.
«Para sectores críticos como las finanzas y la energía, tales violaciones pueden provocar la fuga de datos comerciales centrales, secretos comerciales, repositorios de códigos o incluso la parálisis completa de sistemas comerciales completos, causando pérdidas incalculables», agregó CNCERT.
Para combatir estos riesgos, recomendamos que los usuarios y las organizaciones refuercen los controles de red, eviten que los puertos de administración predeterminados de OpenClaw queden expuestos a Internet, aíslen los servicios en contenedores, eviten almacenar credenciales en texto sin cifrar, descarguen habilidades solo de canales confiables, deshabiliten las actualizaciones automáticas de habilidades y mantengan a los agentes actualizados.
El desarrollo se produce cuando las autoridades chinas toman medidas para restringir que las empresas estatales y las agencias gubernamentales ejecuten la aplicación OpenClaw AI en computadoras de oficina para contener los riesgos de seguridad, informó Bloomberg. Se dice que la prohibición también se extenderá a las familias de militares.
La popularidad viral de OpenClaw también ha llevado a los actores de amenazas a aprovechar este fenómeno mediante la distribución de repositorios maliciosos de GitHub disfrazados de instaladores de OpenClaw para implementar ladrones de información como Atomic y Vidar Stealer, así como malware proxy basado en Golang conocido como GhostSocks que utiliza instrucciones de estilo ClickFix.
«Esta campaña no estaba dirigida a ninguna industria específica, sino a usuarios que intentaban instalar OpenClaw utilizando un repositorio malicioso que contiene instrucciones de descarga para entornos Windows y macOS», dijo Huntress. «Lo que hizo que esto fuera exitoso es que el malware estaba alojado en GitHub, y este repositorio malicioso se convirtió en el candidato mejor calificado en los resultados de búsqueda de IA de Bing para OpenClaw Windows».
Source link
