Експерт з раків також зазнав невдачі! OpenClaw через помилку в синтаксисі витекли найсекретніші дані власного сервера

Нещодавно команда досліджень sequrity.ai, яка зосереджена на безпеці AI-агентів, під час тестування популярного робота OpenClaw випадково зіткнулася з несподіваною ситуацією «самогібриджування»…
(Передісторія: не слідуйте сліпо за OpenClaw, маленькі креветки AI дуже сильні, але не обов’язково підходять вам)
(Додатково: просто згадати Bitcoin — і вас заблокували: розрив між креветками OpenClaw та криптовалютами)

Зміст статті

Перемикач

• Навіть експерти з безпеки потрапили: несподівана подія «самогібриджування»
• Фатальні лапки: як AI випадково розкриває найвищі секрети
• Хакери скористалися вразливістю та подальші дії
• Довгий хвіст викликів безпеки AI: хто несе відповідальність?

З поширенням штучного інтелекту (AI) та його здатністю допомагати розробникам у щоденних завданнях, з’явилися нові потужні можливості. Однак ця технологія також несе нові небезпеки для безпеки. Нещодавно команда відомих фахівців з інформаційної безпеки під час тестування популярного робота OpenClaw випадково стала жертвою «самогібриджування». Через невеликий синтаксичний помилку у команді AI-моделі всі секретні ключі у тестовому середовищі були оприлюднені на GitHub, що призвело до повного контролю зловмисників над сервером.

Навіть експерти з безпеки потрапили: несподівана подія «самогібриджування»

Жертвою цієї події стали не звичайні користувачі без технічних знань, а професійні дослідники з компанії sequrity.ai, що займається створенням інструментів для безпеки AI-агентів, зокрема їхній співробітник Аарон Чжао. Як експерти галузі, вони були впевнені у своїй захищеності і нещодавно опублікували статтю про способи атаки на OpenClaw.

Команда тестувала у безпечному середовищі (Sandbox), без будь-яких шкідливих налаштувань, і просто попросила робота виконати безпечне завдання: «Знайти найкращі практики асинхронного програмування в Python і створити GitHub Issue для підсумку». Однак ця звичайна команда стала причиною серйозних наслідків.

Фатальні лапки: як AI випадково розкриває найвищі секрети

Проблема полягала у тому, що OpenClaw при виклику внутрішнього інструменту «exec» для створення GitHub Issue згенерував команду Shell із помилкою.

У Bash, якщо рядок взято у «двійні лапки (“…”)», система виконує частини з них (наприклад, команду в зворотних апострофах) як команду і підставляє результат у рядок. Якщо ж використовуються «одинарні лапки (‘…’)», то все трактує як простий текст.

У цей момент, згенерований рядок містив фразу «…зберегти їх у \set\…», і був взятий у двійні лапки. У Bash «set» — це команда, яка при запуску без параметрів виводить всі змінні середовища та функції.

Отже, замість просто тексту, система виконула команду «set», яка витягнула понад сотню секретних змінних середовища, включно з токенами доступу, і опублікувала їх у відкритому GitHub Issue, зробивши їх доступними всім.

Хакери скористалися вразливістю та подальші дії

Наслідки витоку були швидкими. У відкритих змінних середовища виявилися ключі Telegram та інші важливі доступи. Незабаром команда виявила, що зловмисник з Індії, використовуючи ці дані, підключився через SSH і отримав повний контроль над сервером.

На щастя, системи безпеки OpenAI і Google виявили ці витоки і повідомили команду. Це дозволило швидко провести розслідування, знайти причину і заблокувати зловмисника, а також видалити всі дані та скасувати скомпрометовані ключі.

Довгий хвіст викликів безпеки AI: хто несе відповідальність?

Ця ситуація показала, наскільки складною є безпека AI. Команда зазначила, що вони просто виконували безпечну команду, але через неправильне розуміння Bash модель спричинила витік.

Питання — хто відповідальний: користувач, сама модель чи дизайн OpenClaw? Вони зізналися: «Ми справді не знаємо». Вони підкреслюють, що безпека AI — це «довгий хвіст» проблем, з безліччю малоймовірних і складних сценаріїв відмови. Зі зростанням ролі AI-агентів у системах, важливо серйозно ставитися до питання, як запобігти катастрофічним інцидентам через дрібні помилки у синтаксисі або логіці.