OpenClaw AIエージェントは、最近のCNCERT警告による不安全なデフォルト設定とプロンプトインジェクション脆弱性に関する重大なセキュリティ精査に直面しています。
防御側にとって最も重大なリスクは、単なるモデルの混乱ではなく、攻撃者が通常のAIエージェントの動作を静かなデータ流出パイプラインに変える能力です。
これは、コンテンツに由来する操作が迅速に深刻な運用セキュリティインシデントにエスカレートする、増加する問題を浮き彫りにしています。
クリック不要な流出攻撃
invadersのセキュリティ研究者は最近、間接的なプロンプトインジェクションを使用した非常に効果的な攻撃チェーンを実証しました。
攻撃者は、OpenClawエージェントが読むことが予想されるWebコンテンツまたは外部データに悪意のある命令を隠すことで開始します。
AIエージェントはこれらの隠された命令を処理し、攻撃者が制御するURLを生成するよう強制されます。
重要なことに、侵害されたエージェントは、アクセス可能な機密データをURLのクエリパラメータに直接追加します。
この攻撃の最も危険な部分は、その後に起こることです。AIエージェントがこの細工されたURLをTelegramやDiscordなどのメッセージングプラットフォームを通じてユーザーに送り返すと、プラットフォームのネイティブ機能が知らずのうちに攻撃者を支援します。
メッセージングアプリは自動的にリンクプレビューを生成し、攻撃者のドメインへの静かなアウトバウンドHTTPリクエストをトリガーします。
攻撃者は即座にリクエストを受け取り、サーバーログから機密データを抽出します。
このデータ流出プロセス全体はユーザーの相互作用がゼロで済み、データを盗むためにリンクをクリックする必要は全くありません。
OpenClawは、ローカルファイルを読む、タスクを実行し、様々なサービスと自律的に相互作用できるため、非常に有用です。
しかし、この広い有用性は、侵害の影響を大幅に高めます。AIエージェントが深いアクセス権を持つ場合、悪意のあるプロンプトインジェクションは現実世界の結果をもたらす可能性があります。
OpenClawの展開のリスクを増幅させるいくつかの重要な要因があります:
- メッセージングの統合により、自動リンクプレビュー動作を通じて即座なクリック不要なデータ漏洩パスが作成されます。
- 昇格したホストまたはコンテナアクセスにより、プロンプト操作が不正なシステムアクションに変換されます。
- サードパーティスキルのエコシステムは、悪意のあるまたは不十分にレビューされたコードを環境に導入することができます。
- エージェントは、保存されたシークレット、運用認証情報、および貴重なAPIキーの近くで動作することがよくあります。
- デフォルトの管理ポートと開いたメッセージングサーフェスは、攻撃の潜在的なブラスト半径を増加させます。
セキュリティチームはこのクラスの脆弱性を、単純なモデルバグではなく、エージェントシステムの根本的なアーキテクチャ問題として扱う必要があります。
AIエージェントが閲覧して情報を取得できるようになったら、防御者は外部コンテンツがそれを操作しようとすることを想定する必要があります。
OpenClawの展開を保護するため、組織は以下の軽減策を実装する必要があります:
- AIエージェントがユーザーに影響されたURLで応答するメッセージングチャネルでリンクプレビューを無効化または大幅に制限します。
- 厳しく制御されたコンテナランタイム内でOpenClawエージェントを隔離し、デフォルトの管理ポートを公開インターネットから離れた状態に保ちます。
- サードパーティのエージェントスキルは完全に信頼できるソースからのみインストールし、非常に機密性の高い環境では自動更新をオフにします。
- エージェント応答の直後にトリガーされるアウトバウンドネットワークリクエストを監視し、見覚えのないドメインを指すエージェント生成リンクのアラートを構築します。
翻訳元: https://gbhackers.com/openclaw-ai-agents-vulnerable-to-indirect-prompt-injection/
