- 27,179
- 46
- 8 Ноя 2022
Хакеры нашли способ управлять чужими ИИ-ассистентами.
Корпорация Microsoft предупредила о рисках, которые несут автономные программные агенты при запуске внутри корпоративной сети. Поводом стал OpenClaw, инструмент, который компании всё чаще тестируют в пилотных проектах. По данным исследовательской команды Microsoft Defender , такой агент по умолчанию почти не защищён, при этом может загружать код из внешних источников, выполнять его и работать с теми учётными данными, которые ему выдали.
Проблема в том, что граница выполнения кода смещается. Если раньше в инфраструктуре запускали заранее проверенные программы, то теперь агент может получить текст из внешнего источника, скачать «навык» из публичного каталога и тут же выполнить его. Всё это происходит от имени пользователя или сервиса, которому выдали токены доступа. При неосторожной настройке компания рискует утечкой данных, подменой «памяти» агента с закреплением вредоносных инструкций и даже захватом хоста, если агент заставят скачать и запустить вредоносный код.
В Microsoft прямо говорят, что OpenClaw стоит воспринимать как выполнение недоверенного кода с учетными данными, которые хранятся в системе. Запускать его на обычной рабочей станции сотрудника или на машине с чувствительными данными не следует. Если компания всё же решила протестировать инструмент, его рекомендуют изолировать в отдельной виртуальной машине или на выделенном физическом устройстве, выдать отдельные учётные записи с минимальными правами и обеспечить постоянный контроль активности.
Исследователи разделяют два источника риска. Первый связан с кодом, который агент загружает в виде расширений и «навыков». Их часто распространяют через публичный каталог ClawHub. Установка такого навыка, по сути, равна установке стороннего кода с привилегиями. Второй источник связан с инструкциями, которые агент получает из внешнего текста. Платформа Moltbook, где агенты обмениваются сообщениями через программные интерфейсы, может превратиться в канал массовой доставки вредоносных указаний. Один опубликованный пост способен повлиять сразу на несколько агентов.
В отличие от управляемых облачных ассистентов, где среда выполнения и обновления контролирует поставщик, в случае с локальным агентом вся ответственность ложится на организацию. Хост, расширения и локальное состояние становятся частью доверенной зоны. Если агент умеет просматривать внешние источники и устанавливать расширения, нужно исходить из того, что рано или поздно он столкнётся с вредоносным содержимым.
Microsoft описывает типовой сценарий атаки. Злоумышленник публикует вредоносный навык в ClawHub, иногда маскируя его под полезную утилиту. Разработчик или сам агент устанавливает его, после чего вредоносный код получает доступ к состоянию агента, включая токены, кэшированные учётные данные и конфигурацию. Далее атакующий использует легальные программные интерфейсы для действий от имени жертвы, а закрепление происходит через изменения конфигурации, выдачу новых разрешений или создание запланированных задач. Вместо классической установки трояна злоумышленник получает долгосрочный контроль над автоматизацией.
Отдельно описан вариант косвенной подмены инструкций . Если агент регулярно считывает общий канал сообщений, вредоносный текст можно встроить в обычный контент. Такой приём позволяет направлять действия агента или вынуждать его раскрывать чувствительные данные, особенно если у него широкие полномочия и слабые ограничения.
В качестве мер защиты Microsoft советует изолировать среду запуска, использовать отдельные учётные записи с минимальными правами и регулярно проверять сохранённые инструкции и состояние агента на предмет неожиданных изменений. Сценарий полной переустановки и восстановления из резервной копии должен быть подготовлен заранее, а не после инцидента.
Для контроля Microsoft предлагает использовать собственные средства защиты, включая Microsoft Defender для конечных точек, Microsoft Sentinel , Microsoft Defender XDR, Microsoft Entra ID и Microsoft Purview. Они позволяют отслеживать запуск OpenClaw в сети, установку новых навыков, появление приложений с высокими правами доступа и аномальную сетевую активность.
В компании подчёркивают, что запуск OpenClaw – это не просто техническая настройка, а решение о доверии. Организация должна чётко понимать, какие машины, учётные записи и данные окажутся под угрозой, если агент обработает вредоносный ввод. Во многих случаях разумнее отказаться от развёртывания. Если же пилот неизбежен, нужно исходить из того, что компрометация возможна, и заранее ограничить масштаб ущерба.
Корпорация Microsoft предупредила о рисках, которые несут автономные программные агенты при запуске внутри корпоративной сети. Поводом стал OpenClaw, инструмент, который компании всё чаще тестируют в пилотных проектах. По данным исследовательской команды Microsoft Defender , такой агент по умолчанию почти не защищён, при этом может загружать код из внешних источников, выполнять его и работать с теми учётными данными, которые ему выдали.
Проблема в том, что граница выполнения кода смещается. Если раньше в инфраструктуре запускали заранее проверенные программы, то теперь агент может получить текст из внешнего источника, скачать «навык» из публичного каталога и тут же выполнить его. Всё это происходит от имени пользователя или сервиса, которому выдали токены доступа. При неосторожной настройке компания рискует утечкой данных, подменой «памяти» агента с закреплением вредоносных инструкций и даже захватом хоста, если агент заставят скачать и запустить вредоносный код.
В Microsoft прямо говорят, что OpenClaw стоит воспринимать как выполнение недоверенного кода с учетными данными, которые хранятся в системе. Запускать его на обычной рабочей станции сотрудника или на машине с чувствительными данными не следует. Если компания всё же решила протестировать инструмент, его рекомендуют изолировать в отдельной виртуальной машине или на выделенном физическом устройстве, выдать отдельные учётные записи с минимальными правами и обеспечить постоянный контроль активности.
Исследователи разделяют два источника риска. Первый связан с кодом, который агент загружает в виде расширений и «навыков». Их часто распространяют через публичный каталог ClawHub. Установка такого навыка, по сути, равна установке стороннего кода с привилегиями. Второй источник связан с инструкциями, которые агент получает из внешнего текста. Платформа Moltbook, где агенты обмениваются сообщениями через программные интерфейсы, может превратиться в канал массовой доставки вредоносных указаний. Один опубликованный пост способен повлиять сразу на несколько агентов.
В отличие от управляемых облачных ассистентов, где среда выполнения и обновления контролирует поставщик, в случае с локальным агентом вся ответственность ложится на организацию. Хост, расширения и локальное состояние становятся частью доверенной зоны. Если агент умеет просматривать внешние источники и устанавливать расширения, нужно исходить из того, что рано или поздно он столкнётся с вредоносным содержимым.
Microsoft описывает типовой сценарий атаки. Злоумышленник публикует вредоносный навык в ClawHub, иногда маскируя его под полезную утилиту. Разработчик или сам агент устанавливает его, после чего вредоносный код получает доступ к состоянию агента, включая токены, кэшированные учётные данные и конфигурацию. Далее атакующий использует легальные программные интерфейсы для действий от имени жертвы, а закрепление происходит через изменения конфигурации, выдачу новых разрешений или создание запланированных задач. Вместо классической установки трояна злоумышленник получает долгосрочный контроль над автоматизацией.
Отдельно описан вариант косвенной подмены инструкций . Если агент регулярно считывает общий канал сообщений, вредоносный текст можно встроить в обычный контент. Такой приём позволяет направлять действия агента или вынуждать его раскрывать чувствительные данные, особенно если у него широкие полномочия и слабые ограничения.
В качестве мер защиты Microsoft советует изолировать среду запуска, использовать отдельные учётные записи с минимальными правами и регулярно проверять сохранённые инструкции и состояние агента на предмет неожиданных изменений. Сценарий полной переустановки и восстановления из резервной копии должен быть подготовлен заранее, а не после инцидента.
Для контроля Microsoft предлагает использовать собственные средства защиты, включая Microsoft Defender для конечных точек, Microsoft Sentinel , Microsoft Defender XDR, Microsoft Entra ID и Microsoft Purview. Они позволяют отслеживать запуск OpenClaw в сети, установку новых навыков, появление приложений с высокими правами доступа и аномальную сетевую активность.
В компании подчёркивают, что запуск OpenClaw – это не просто техническая настройка, а решение о доверии. Организация должна чётко понимать, какие машины, учётные записи и данные окажутся под угрозой, если агент обработает вредоносный ввод. Во многих случаях разумнее отказаться от развёртывания. Если же пилот неизбежен, нужно исходить из того, что компрометация возможна, и заранее ограничить масштаб ущерба.
- Источник новости
- www.securitylab.ru
