Die Verbreitung von Open Source-eigenen IA-Agenten hat die Alarme von Notfall-Reaktionsteams ausgelöst. Ein jüngstes Beispiel ist OpenClaw - früher als Clawdbot oder Moltbot bekannt - eine Plattform, die Sprachmodelle ermöglicht, Entscheidungen zu treffen und Aktionen in einem lokalen System durchzuführen. Die chinesischen Behörden, die für die öffentliche Cybersicherheit verantwortlich sind, haben eine öffentliche Warnung über Risiken, die mit ihrer Nutzung verbunden sind, herausgegeben. unrobust Standardkonfigurationen und der privilegierte Zugriff diese Agenten oft brauchen, können sie zu einem Tor für Angreifer machen. Siehe die offizielle Veröffentlichung von CNCERT hier: CNCERT (WeChat).
Um zu verstehen, warum OpenClaw besorgt ist, müssen Sie über sein Design nachdenken: autonom zu handeln, muss der Agent in der Lage sein, zu navigieren, zu lesen oder Befehle auszuführen. Diese Erlaubnis, durch das System "Bewegung" ist genau das, was macht es einfacher für eine schlechte Konfiguration oder eine bösartige Erweiterung, um eine Lücke zu verursachen. Unter den Techniken, die die Angreifer ausnutzen, ist die Technik, die als Proppt-Injektion bekannt ist, und insbesondere eine subtilere Variante genannt Indirect Prompts Injektion o crosss-domain-Prompt-Injektion, bei der der Gegner das Modell nicht direkt angreift, sondern legitime Funktionen wie das Lesen von Webseiten oder das Erzeugen von Zusammenfassungen manipuliert. Eine technische Analyse dieser Modalität finden Sie in Kaspersky Sequrelist: Sichere Liste und in Untersuchungen von Palo Alto Unit42: Einheit42.
Ein illustrativer Fall wurde von ProptArmor veröffentlicht: Wenn der Agent URLs generieren kann und die Messaging-Anwendungen den automatischen Link "Forews" zeigen, kann der Angreifer den Agenten zwingen, eine Webadresse mit Parametern aufzubauen, die sensible Daten enthalten. Wenn der Nachrichtendienst die Vorschau anfordert, erhält der Browser oder der Remoteserver des Angreifers diese URL und damit die gefilterten Informationen, ohne dass jemand anklicken muss. Dieser Mechanismus verwandelt eine scheinbar harmlose Reaktion des Agenten in eine sofortige Daten exfiltration. Die technische Demonstration und Erläuterung sind im Bericht ProptArmor erhältlich: PromptArmor.
Zusätzlich zu diesen indirekten Injektionen haben Forscher und CNCERT andere besorgniserregende Vektoren identifiziert. Zum einen kann die Fähigkeit des Agenten, Anweisungen zu interpretieren und Aufgaben auszuführen, zu destruktiven Fehlern führen, wie die unfreiwillige und irreversible Beseitigung kritischer Informationen, wenn das Modell eine Ordnung missversteht. Andererseits können "skills"-Repositorien oder Erweiterungen, die die Funktionen des Agenten erweitern, zu einem Eingabepunkt werden: Wenn ein schädlicher Schauspieler eine Fähigkeit veröffentlicht, die willkürliche Befehle ausführt, ist die Installation dieser Fähigkeit gleichwertig mit der Bereitstellung von Remote-Zugriff auf das System. Schließlich können die neu verbreiteten Softwarelücken in OpenClaw selbst genutzt werden, um Instanzen zu kompromittieren und sensible Daten zu extrahieren.
Die Popularität des Projekts wurde auch für die traditionelle Malware-Verteilung verwendet. Forschung von Cyber-Sicherheitsunternehmen hat Kampagnen dokumentiert, die falsche Repositories in GitHub als OpenClaw-Installateure vorgestellt verwenden; diese Repositories heruntergeladen sensible Informationen über Trojaner wie Atomic oder Vidar Stealer, und implementierte Proxies und Hintertüren wie GhostSocks. Huntress beschreibt, wie schädliche Repositories in AI-Suchergebnissen positioniert und Infektionen in Windows- und MacOS-Umgebungen erleichtert wurden: Huntres, und die Analyse von GhostSocks in Synthient.
Die Auswirkungen in kritischen Sektoren können schwer sein: von der Filtration von Handelsgeheimnissen bis zur vollständigen Unterbrechung wesentlicher Dienste. Daher sind die chinesischen Behörden gekommen, die Verwendung dieser Anträge auf Computer von staatlichen Stellen und öffentlichen Unternehmen zu beschränken, ihre Verwendung in Büros zu verbieten und sogar die Beschränkung auf das familiäre Umfeld von Militärpersonal zu verlängern, wie Bloomberg berichtete: Bamberg.
Welche praktischen Maßnahmen können Unternehmen und Anwender ergreifen, um das Risiko zu reduzieren? Das Prinzip der geringfügigen Vorrechte sollte zunächst angewandt werden: Nicht, wenn nicht unbedingt erforderlich, Beamte mit Verwaltungsgenehmigungen auszuführen. Auch empfohlen Isolat-Service in Behältern oder virtuelle Maschinen, und setzen Sie den Standard-Management-Port nicht auf das Internet. Secret Management sollte eine flache Textspeicherung vermeiden und durch Tresorsysteme gehen; Fähigkeiten sollten nur aus verifizierten Quellen installiert werden und automatische Erweiterungsaktualisierungen sollten deaktiviert werden, bis ihre Integrität validiert ist. Darüber hinaus erhöhen Netzsteuerungen, die unbefugte Ausgänge, Firewall-Regeln, Outbound-Verkehrsinspektion und EDR-Maßnahmen die Widerstandsfähigkeit gegen Exfiltration und unerwünschte Codeausführung.
Es gibt auch Raum für Produkt-Level-Lösungen: Begrenzen oder deaktivieren Sie die automatische Web-Navigation des Agenten, heilen und validieren Sie die externen Inhalte, bevor das Modell es verarbeitet, und Anwendung von Signatur- und Überprüfungsmechanismen für die Fähigkeiten helfen, Social Engineering und Instruktion Handling Angriffe zu mindern. OpenAI hat auf die Entwicklung dieser Techniken aufmerksam gemacht und die Notwendigkeit, dass Agenten entworfen werden, um Manipulation zu widerstehen, in seiner Anmerkung, wie Agenten gegen schnelle Injektionen zu schützen: OpenAI.
Die allgemeine Empfehlung für jede Organisation, die die Sicherheit schätzt, ist, vorsichtig zu handeln: Die Verzweiflung von Aufgaben an einen autonomen Agenten sollte keine grundlegenden Cybersicherheitskontrollen überwiegen. Hinter einer einfachen Schnittstelle können komplexe Mechanismen versteckt werden, die in falschen oder schlecht konfigurierten Händen erhebliche Schäden verursachen. Die Community-, Projektmanager- und Sicherheitsteams sollten zusammenarbeiten, um sichere Bereitstellungsleiter, Standard-Härtung und häufige Audits zu veröffentlichen und diese Technologien so weiterzuentwickeln, ohne ein systemisches Risiko zu werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...