El Equipo Técnico Nacional de Respuesta a Emergencias de Redes Informáticas de China (CNCERT) ha emitido una advertencia sobre la seguridad que se deriva del uso de Ley abierta (anteriormente Clawdbot y Moltbot), un agente de inteligencia artificial (IA) autónomo de código abierto y autohospedado.

En una publicación publicada en WeChat, CNCERT señaló que las «configuraciones de seguridad predeterminadas intrínsecamente débiles» de la plataforma, junto con su acceso privilegiado al sistema para facilitar las capacidades de ejecución autónoma de tareas, podrían ser exploradas por actores malintencionados para hacerse con el control del punto final.

Esto incluye los riesgos derivados de las inyecciones rápidas, en las que las instrucciones malintencionadas incrustadas en una página web pueden hacer que el agente filtre información confidencial si es engañado para que acceda al contenido y lo consuma.

El ataque también es se refiere como inyección rápida indirecta (IDPI) o inyección rápida entre dominios (XPIA), ya que los adversarios, en lugar de interactuar directamente con un modelo lingüístico grande (LLM), utilizan como arma funciones benignas de la IA, como el resumen de páginas web o el análisis de contenido, para ejecutar instrucciones manipuladas . Esto puede van desde evadir los sistemas de revisión de anuncios basados en la inteligencia artificial e influir en las decisiones de contratación para envenenar la optimización de motores de búsqueda (SEO) y generar respuestas sesgadas al suprimir las críticas negativas.

adsense

OpenAI, en una entrada de blog publicada a principios de esta semana, dijo que los ataques de inyección rápida están evolucionando más allá de la simple colocación de instrucciones en contenido externo para incluir elementos de ingeniería social.

«Los agentes de inteligencia artificial son cada vez más capaces de navegar por la web, recuperar información y tomar medidas en nombre de un usuario», dice dijo . «Esas capacidades son útiles, pero también crean nuevas formas para que los atacantes traten de manipular el sistema».

Los riesgos de inyección inmediata en OpenClaw no son hipotéticos. El mes pasado, los investigadores de PromptArmor descubrieron que función de vista previa de enlaces en aplicaciones de mensajería como Telegram o Discord se puede convertir en una vía de exfiltración de datos al comunicarse con OpenClaw mediante una inyección inmediata indirecta.

La idea, a un alto nivel, es engañar al agente de IA para que genere una URL controlada por un atacante que, cuando se muestra en la aplicación de mensajería como una vista previa del enlace, hace que transmita automáticamente datos confidenciales a ese dominio sin tener que hacer clic en el enlace.

«Esto significa que en los sistemas de agencia con vistas previas de enlaces, la exfiltración de datos puede producirse inmediatamente después de que el agente de IA responda al usuario, sin que el usuario tenga que hacer clic en el enlace malicioso», dijo la empresa de seguridad de IA dijo . «En este ataque, se manipula al agente para crear una URL que utilice el dominio de un atacante, y se añaden parámetros de consulta generados dinámicamente que contienen datos confidenciales que el modelo conoce sobre el usuario».

Además de las indicaciones fraudulentas, el CNCERT también ha destacado otras tres preocupaciones:

  • La posibilidad de que OpenClaw borre inadvertida e irrevocablemente información crítica debido a su mala interpretación de las instrucciones de usuario.
  • Los actores de amenazas pueden subir habilidades maliciosas a repositorios como ClawHub que, al instalarse, ejecutan comandos arbitrarios o despliegan malware.
  • Los atacantes pueden explotar vulnerabilidades de seguridad reveladas recientemente en OpenClaw para comprometer el sistema y filtrar datos confidenciales.

«Para los sectores críticos, como las finanzas y la energía, estas infracciones podrían provocar la filtración de datos empresariales fundamentales, secretos comerciales y repositorios de códigos, o incluso provocar la parálisis total de sistemas empresariales completos, lo que provocaría pérdidas incalculables», añadió CNCERT.

Para contrarrestar estos riesgos, se recomienda a los usuarios y a las organizaciones que refuercen los controles de red, eviten la exposición del puerto de administración predeterminado de OpenClaw a Internet, aíslen el servicio en un contenedor, eviten almacenar las credenciales en texto plano, descarguen las habilidades solo de canales confiables, deshabiliten las actualizaciones automáticas de las habilidades y mantengan al agente actualizado.

enlaces

La noticia se produce cuando las autoridades chinas han tomado medidas para impedir que las empresas estatales y las agencias gubernamentales ejecuten aplicaciones de IA de OpenClaw en las computadoras de las oficinas, en un intento por contener los riesgos de seguridad, según Bloomberg reportó . También se dice que la prohibición se extiende a las familias del personal militar.

La popularidad viral de OpenClaw también ha llevado a los actores de amenazas a capitalizar el fenómeno para distribuir repositorios maliciosos de GitHub haciéndose pasar por instaladores de OpenClaw para desplegar ladrones de información como Atomic y Vidar Stealer, y un malware proxy basado en Golang conocido como Calcetines Ghost usando Instrucciones al estilo ClickFix .

«La campaña no se dirigió a un sector en particular, sino que se dirigió ampliamente a los usuarios que intentaban instalar OpenClaw con repositorios maliciosos que contenían instrucciones de descarga para entornos Windows y macOS», dijo Huntress dijo . «Lo que lo hizo exitoso fue que el malware estaba alojado en GitHub, y el repositorio malicioso se convirtió en la sugerencia mejor valorada en los resultados de búsqueda de inteligencia artificial de Bing para OpenClaw Windows».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.