Hudson Rockのサイバーセキュリティ研究者は、インフォスティーラーマルウェアが被害者のOpenClaw AIエージェント設定から機密ファイルを盗んだライブ感染を明らかにしました。これは泥棒の動作方法の転換を示しています。
彼らは今、ブラウザのパスワードだけでなく、個人のAIツールの核となる「アイデンティティ」をターゲットにしています。AIアシスタントであるOpenClawは、ユーザーにとってのデジタル魂のように機能する重要な構成を保存します。この場合、マルウェアは特別なモジュールなしにディレクトリ全体を引き出しました。
.openclawなどの拡張子を持つファイルをつかむための一般的な「なんでも掴む」ルーチンを使用しました。この偶発的なヒットは、メール、トークン、秘密鍵を暴露しました。
AIエージェントが日々の業務にますます深く組み込まれるにつれて、専門家はインフォスティーラーがすぐにこれらのファイルを狩るカスタムツールを構築するだろうと警告しており、ChromeやTelegramのためのツールと同様です。
Hudson Rockの台頭するインフォスティーラーであるClawdBotへの最初の調査は、このトレンドに旗を立てました。詳細は彼らのClawdBotレポートに表示されます。盗まれたデータは攻撃者に被害者のオンライン生活の完全な地図を与えます。
マルウェアはOpenClawを目的的に狩りませんでした。その広範な掃引は、設定フォルダなどの一般的な機密スポットをターゲットにしました。しかし、被害者のOpenClawワークスペースをコピーすることで大きなヒットを記録しました。これにはエージェントの完全なコンテキストを保持するパスとファイルが含まれます。
攻撃者は今、ユーザーが彼らのAIヘルパーをどのように実行しているかを見ています。Hudson Rockは迅速な変化を予測しています。開発者はOpenClawパーサーを追加するでしょう、彼らがDiscordなどのアプリケーション向けにしたのと同じように。
この進化はAIに依存するプロの生活を脅かします。1つ暴露されたポートまたは間違った設定があれば、泥棒がエージェントのアクションを制御できます。
研究者は捕獲物を分解しました。まず、openclaw.jsonはエージェントの脳として機能します。被害者の部分的なメール(ayou…[at]gmail.com)、ワークスペースの詳細、および強力なゲートウェイトークンを保持していました。
このトークンにより、攻撃者はポートが開いたままであれば、ローカルOpenClawインスタンスにリンクできます。彼らはフェイククライアントリクエストをAIサービスに対して行うこともできました。
次に、device.jsonが最も恐ろしいことが判明しました。セキュアなリンクと署名のためのpublicKeyPemとprivateKeyPem raw キーを漏らしました。攻撃者がこれらを持っていれば、「安全なデバイス」チェックをバイパスできます。彼らはロックされたログまたはクラウドペアに所有者としてアクセスできます。
その後、soul.mdはエージェントのパーソナリティファイルが来ました。「内部アクションで大胆になる」などのルールを設定しており、ファイルの読み取りやデータの並べ替えなどです。
AGENTS.mdとMEMORY.mdのようなペアメモリファイルは、おそらく日々のログ、チャット、スケジュールをこぼします。これはユーザーの習慣の完全な画像を描きます。
Hudson RockのEnki AIツールがファイルをスキャンしました。リスクをマップし、トークン、キー、およびコンテキストがどのように完全な乗っ取りを可能にするかを示しました。攻撃者は被害者のデジタル自己を再構築します。
翻訳元: https://cyberpress.org/hackers-exploit-openclaw-configurations/