Jūsų AI agentas gali išduoti slaptažodžius, o jūs to net nepastebėsite — štai kaip

Įsivaizduokite, kad jūsų asmeninis AI agentas, kuriam patikėjote el. paštą, kalendorių ir kontaktus, vieną dieną tyliai persiunčia jūsų slaptažodžius nepažįstamam žmogui. Ir jūs to net nepastebite, nes užpuolikas niekada neparašė jums tiesiogiai — jis paslėpė komandą kontakto varde, kurio ekrane net nesimatė.

Būtent tai atrado dvi atskiros saugumo tyrėjų komandos, šią savaitę paskelbusios tyrimus apie „OpenClaw" — populiarų savarankiškai diegiamą AI agentą. „Imperva" įterpė instrukcijas į bendrinamus kontaktus, vCard bylas ir vietos žymeklius, kuriuos agentas vykdė aukai nieko nemačius. „Varonis" sukūrė testinį agentą, davė jam pašto dėžutę pilną sintetinių verslo duomenų ir stebėjo, kaip vienas paprastas el. laiškas įtikino jį persiųsti netikrus AWS raktus ir suklastotą klientų eksportą į išorinį adresą.

Kaip veikia ataka: problema slypi ne modelyje, o „santechnikoje"

„Imperva" tyrėjas Yohannas Sillamas pažvelgė ne į patį AI modelį, o į tai, kaip „OpenClaw" perduoda jam duomenis. Problema — architektūrinė.

Kai agentas gauna žinutę su bendrinamu kontaktu, vCard arba vietos žymekliu, jis „suploja" objektą į prompt'o tekstą eilutėje, be jokios ribos, žyminčios jį kaip nepatikimą. Turinys, kurį agentas gauna iš interneto, yra įvyniojamas į nepatikimo turinio žymeklį. Žinučių objektai — ne.

Kai kurie laukai keliauja į modelį, ir būtent tai ataka išnaudoja. Bendrinamas kontaktas siunčia tik vardo lauką, serializuotą kaip `<contact: vardas, numeris>`. Kampiniai skliaustai yra legalūs varde, todėl modelis negali atskirti, kur baigiasi tikras vardas ir prasideda įterpta instrukcija.

Kontakto vardas yra nukirptas ten, kur rodomas ekrane — tiek „WhatsApp", tiek priimančioje programėlėje — todėl auka niekada nemato kenkėjiškos dalies. Tas pats triukas veikia per vCard bylos „full-name" lauką, kurį „WhatsApp" palaiko natūraliai, ir per vietos žymeklio etiketę.

„Imperva" testuose prieš „Gemini 3.1 Pro" (peržiūros versiją), paslėptas tekstas liepė agentui atsisiųsti ir paleisti skriptą iš tyrėjų kontroliuojamo serverio. Agentas tai padarė.

Paprastas paveikslėlis su instrukcijomis, paslėptomis jame, nesuveikė — tikėtina, kad modeliai jau yra apmokyti atsispirti šiai atakai, nes apie ją pranešta tiek daug kartų. Bet žinučių objektų maršrutas veikė, nes modeliai matė daug mažiau tokių pavyzdžių.

„OpenClaw" pataisė, bet problema platesnė

„OpenClaw" išleido pataisą versijoje 2026.4.23, kuri perkelia kontaktų vardus, vCard laukus ir vietos etiketes iš prompt'o kūno į atskirą nepatikimų metaduomenų kanalą. Tai reiškia, kad modelis dabar mato šiuos duomenis kaip aiškiai pažymėtus nepatikimus — ir atitinkamai su jais elgiasi.

Tačiau „Imperva" rado tą patį „suplojimo" modelį ir kituose asmeniniuose AI asistentuose. Taigi pagrindinė problema nėra vien „OpenClaw" — tai architektūrinis sprendimas, kurį, panašu, priėmė ne vienas kūrėjas.

Su „OpenClaw" atmintimi, įjungta pagal nutylėjimą, „Imperva" perspėja, kad vienas plačiai bendrinamas turinys su paslėpta instrukcija galėtų tyliai kompromituoti agentus, kurie jį praryja — jei jie nėra izoliuoti smėlio dėžėje.

Socialinis inžinerijos kampas: „Varonis" tyrimas

„Varonis Threat Labs" priėjo prie „OpenClaw" iš socialinės pusės. Tyrime, vadovaujamame Itay Yasharo, komanda sukūrė agentą pavadinimu „Pinchy", prijungė jį prie „Gmail" pašto dėžutės, prikrautos realistinių verslo duomenų, ir išsiuntė vieną paprastą el. laišką.

Laiškas atrodė nekaltai — jokio kenkėjiško kodo, jokių priedų. Tik tekstas, įtikinantis agentą, kad reikia persiųsti tam tikrus failus išorės adresatui. Agentas pakluso.

Ši ataka nėra tai, ką pataisa gali sutvarkyti. Tai esminė AI agentų problema: agentas pasitiki tuo, kas jį pasiekia, o jo prieiga tampa užpuoliko prieiga. Sprendimas slypi ne kodo pataisyme, o apribojimuose, ką agentas apskritai gali daryti savarankiškai.

Ką tai reiškia paprastiems naudotojams

„OpenClaw" yra savarankiškai diegiamas agentas — tai reiškia, kad jį naudoja techniškai pažengę vartotojai, kurie nori turėti savo AI asistentą, o ne pasikliauti debesijos paslaugomis. Bet būtent ši auditorija dažnai suteikia agentams plačias prieigas: el. paštą, kalendorių, failų sistemas, kartais net serverių prieigą.

Jei naudojate „OpenClaw", atnaujinkite į 2026.4.23 versiją nedelsiant. Bet svarbiau — peržiūrėkite, kokias prieigas suteikėte savo agentui. Kiekviena prieiga, kurios jis neturi turėti, yra potencialus atakos vektorius.

Šie du tyrimai kartu piešia neraminantį vaizdą apie AI agentų saugumo būklę 2026 metais. „Imperva" ataka yra techninė — ją galima pataisyti kodu. „Varonis" ataka yra socialinė — jos negalima pataisyti kodu, nes problema yra pati agento koncepcija: jis sukurtas veikti pagal instrukcijas, o užpuolikas gali pateikti instrukcijas.

Pramonė dar tik pradeda suvokti, kad AI agentų saugumas reikalauja visai kitokio mąstymo nei tradicinis programinės įrangos saugumas. Tradicinėje programinėje įrangoje jūs kontroliuojate, kokias komandas sistema vykdo. AI agente jūs kontroliuojate tik tai, kokius duomenis jis mato — o ką jis su jais darys, priklauso nuo modelio, kurio elgesys nėra deterministinis.

„Imperva" atradimas, kad tas pats architektūrinis trūkumas egzistuoja keliuose asmeniniuose AI asistentuose, rodo, kad tai nėra vieno produkto klaida. Tai pramonės akloji zona. Ir kol kūrėjai neišmoks atskirti patikimo turinio nuo nepatikimo pačiame architektūros lygmenyje, o ne pasikliauti modelio „sveiku protu", tol šios atakos kartosis.