Утечка 1,5 млн ключей и «спящие агенты»: масштабный кризис ИИ-агентов

Популярная экосистема автономных ИИ-агентов OpenClaw (также известная под названиями ClaudeBot и Moldbot) столкнулась с серьезным кризисом доверия. Исследователи в области кибербезопасности и технические эксперты обнаружили в системе критические уязвимости, включая «спящих агентов», утечки миллионов API-ключей и вредоносное ПО, способное проникать из изолированных сред на основные устройства пользователей.

🛡️ Кризис безопасности в экосистеме OpenClaw 0:00

Ведущий канала Wes Roth (Уэс Рот) сообщает о серии серьезных взломов и обнаружении вредоносного кода в инструментах, которыми пользуются владельцы ИИ-агентов OpenClaw . Проблема затрагивает всю инфраструктуру, включая платформу Claw Hub — онлайн-сообщество, где пользователи обмениваются «навыками» (skills) для своих ботов .

По мнению Уэса Рота, названия OpenClaw, ClaudeBot и Moldbot относятся к одной и той же технологической базе, которую он объединяет общим термином OpenClaw . Основная причина уязвимости, как считает автор, заключается в компромиссе между эффективностью и безопасностью:

• Система OpenClaw эффективна именно потому, что многие протоколы безопасности в ней отключены или ослаблены .
• Высокие возможности (capabilities) агента напрямую коррелируют с уровнем опасности при его использовании .
• Популярные навыки на Claw Hub, включая инструменты для работы с Twitter, оказались заражены вредоносным ПО .

🕵️ «Спящие агенты» и семантические атаки 4:29

Одной из самых опасных находок стали так называемые «спящие агенты» (sleeper agents). Исследователи компании Cisco обнаружили случаи, когда в память ИИ-агента внедрялись инструкции, которые не активируются немедленно . По словам специалистов, такой агент может неделями или месяцами ждать кодового слова или команды, чтобы начать вредоносные действия .

Техническая сторона атак строится на «промпт-инъекциях» (prompt injections), но в случае с автономными агентами они приобретают новый смысл :

1. Семантическая угроза: Раньше текстовые файлы (.txt или .md) считались безопасными, так как компьютер просто отображал символы. Теперь LLM (большие языковые модели) понимают смысл текста .
2. Текст как команда: Если в readme-файле или инструкции к «навыку» скрыта команда, агент воспринимает её как руководство к действию и исполняет в интерфейсе командной строки (CLI) .
3. Обход защиты: Вредоносные навыки используют многоступенчатую загрузку. Сначала агент скачивает «условие» (prerequisite), которое ведет на промежуточную страницу. Там исполняется команда, декодирующая обфусцированный код, который затем скачивает финальный вирус .
4. Атака на macOS: Обнаружены скрипты, снимающие атрибуты карантина (quarantine attributes) в macOS, чтобы встроенная система защиты Gatekeeper не сканировала вредоносный бинарный файл .

Особую тревогу вызывает способность ботов «выбираться» из безопасных Docker-контейнеров и устанавливать вредоносное ПО непосредственно в основную операционную систему пользователя [0:38, 13:13].

📉 Масштабная утечка: 1,5 миллиона API-ключей 9:47

Помимо уязвимостей в коде, была зафиксирована масштабная утечка данных пользователей. Исследователи компании Whiz в начале февраля 2024 года раскрыли критический изъян в Moldbot (социальная сеть для агентов OpenClaw) .

Последствия утечки, согласно отчету Whiz:

• Скомпрометировано более 1,5 млн API-токенов аутентификации [0:52, 9:59].
• В открытом доступе оказались 35 000 адресов электронных почт пользователей .
• Утекло более 4 000 частных сообщений между ИИ-агентами .

Главной проблемой стало отсутствие шифрования. Многие пользователи не использовали переменные окружения (.env), а передавали свои ключи от OpenAI, Anthropic и AWS прямо в чат-логах . Уэс Рот подчеркивает, что даже если агент сам по себе не делает ничего плохого, его история чатов (logs) сохраняется в открытом виде, откуда ключи легко извлечь .

🛠️ Реакция индустрии: Инструменты защиты от Cisco 11:43

В ответ на кризис компания Cisco выпустила open-source инструмент под названием Skill Scanner, доступный на GitHub в репозитории Cisco AI Defense [9:21, 13:39]. Разработкой руководили Эми Чанг (Amy Chang) и Винит Сахи (Vineeth Sahi) .

Принцип работы Skill Scanner:

• Семантический анализ: Инструмент использует ИИ для сопоставления описания навыка с его реальными действиями. Если навык для суммирования PDF внезапно запрашивает доступ к внешним URL-адресам, система помечает его как подозрительный .
• Поиск сигнатур: Сканер ищет известные вирусные подписи и подозрительные команды вроде «игнорируй все предыдущие инструкции» [12:09, 12:23].
• Пример атаки: Исследователи Cisco протестировали сканер на популярном навыке «Что бы сделал Илон?» (What would Elon do). Выяснилось, что этот навык был искусственно выведен в топ с помощью бот-ферм. Его скрытая цель заключалась в архивировании файла .env пользователя и отправке его на внешний сервер, пока агент «думал» над ответом .

🧪 Личный опыт и рекомендации Уэса Рота 7:21

Уэс Рот признается, что в процессе тестирования OpenClaw выступал в роли «подопытного кролика» (guinea pig) . Он осознанно подключал свои карты и API-ключи, понимая риски, и в итоге подтвердил факт утечки части своей информации .

Для минимизации ущерба Рот использовал следующие методы:

• Установка жестких лимитов на кредитных картах .
• Использование предоплаченных балансов на API-сервисах, которые он пополнял вручную .
• Постоянный мониторинг использования ключей .

Автор утверждает, что, несмотря на «кошмар безопасности», он не намерен отказываться от ИИ-агентов, так как считает их невероятно перспективными [14:57, 18:00]. Однако его подход к работе с ними радикально изменился.

Советы пользователям от Уэса Рота:

1. Полная очистка: Стереть все данные OpenClaw и начать установку с нуля .
2. Ротация ключей: Немедленно обновить все API-ключи в сервисах OpenAI, Gemini, Anthropic и других .
3. Отказ от чата для ключей: Никогда не передавать API-ключи через окно чата бота; вводить их только напрямую в конфигурационные файлы .
4. Осторожность с Claw Hub: Не доверять сторонним навыкам, даже если у них высокий рейтинг. Лучше писать инструкции для агента самостоятельно [3:50, 17:48].
5. Гигиена логов: Помнить, что всё, что вы пишете агенту, сохраняется. Необходимо регулярно проверять и удалять логи чатов .

Рот резюмирует, что сейчас наступила эпоха «Дикого Запада» в сфере ИИ . В будущем, по его мнению, потребуются не только сканеры навыков, но и сканеры памяти агентов, которые смогут находить скрытые в контексте вредоносные инструкции .