ИИ-помощник, который сам позовет хакеров в гости: Microsoft просит не доверять OpenClaw
NewsMakerХакеры нашли способ управлять чужими ИИ-ассистентами.
Корпорация Microsoft предупредила о рисках, которые несут автономные программные агенты при запуске внутри корпоративной сети. Поводом стал OpenClaw, инструмент, который компании всё чаще тестируют в пилотных проектах. По данным исследовательской команды Microsoft Defender , такой агент по умолчанию почти не защищён, при этом может загружать код из внешних источников, выполнять его и работать с теми учётными данными, которые ему выдали.
Проблема в том, что граница выполнения кода смещается. Если раньше в инфраструктуре запускали заранее проверенные программы, то теперь агент может получить текст из внешнего источника, скачать «навык» из публичного каталога и тут же выполнить его. Всё это происходит от имени пользователя или сервиса, которому выдали токены доступа. При неосторожной настройке компания рискует утечкой данных, подменой «памяти» агента с закреплением вредоносных инструкций и даже захватом хоста, если агент заставят скачать и запустить вредоносный код.
В Microsoft прямо говорят, что OpenClaw стоит воспринимать как выполнение недоверенного кода с учетными данными, которые хранятся в системе. Запускать его на обычной рабочей станции сотрудника или на машине с чувствительными данными не следует. Если компания всё же решила протестировать инструмент, его рекомендуют изолировать в отдельной виртуальной машине или на выделенном физическом устройстве, выдать отдельные учётные записи с минимальными правами и обеспечить постоянный контроль активности.
Исследователи разделяют два источника риска. Первый связан с кодом, который агент загружает в виде расширений и «навыков». Их часто распространяют через публичный каталог ClawHub. Установка такого навыка, по сути, равна установке стороннего кода с привилегиями. Второй источник связан с инструкциями, которые агент получает из внешнего текста. Платформа Moltbook, где агенты обмениваются сообщениями через программные интерфейсы, может превратиться в канал массовой доставки вредоносных указаний. Один опубликованный пост способен повлиять сразу на несколько агентов.
Корпорация Microsoft предупредила о рисках, которые несут автономные программные агенты при запуске внутри корпоративной сети. Поводом стал OpenClaw, инструмент, который компании всё чаще тестируют в пилотных проектах. По данным исследовательской команды Microsoft Defender , такой агент по умолчанию почти не защищён, при этом может загружать код из внешних источников, выполнять его и работать с теми учётными данными, которые ему выдали.
Проблема в том, что граница выполнения кода смещается. Если раньше в инфраструктуре запускали заранее проверенные программы, то теперь агент может получить текст из внешнего источника, скачать «навык» из публичного каталога и тут же выполнить его. Всё это происходит от имени пользователя или сервиса, которому выдали токены доступа. При неосторожной настройке компания рискует утечкой данных, подменой «памяти» агента с закреплением вредоносных инструкций и даже захватом хоста, если агент заставят скачать и запустить вредоносный код.
В Microsoft прямо говорят, что OpenClaw стоит воспринимать как выполнение недоверенного кода с учетными данными, которые хранятся в системе. Запускать его на обычной рабочей станции сотрудника или на машине с чувствительными данными не следует. Если компания всё же решила протестировать инструмент, его рекомендуют изолировать в отдельной виртуальной машине или на выделенном физическом устройстве, выдать отдельные учётные записи с минимальными правами и обеспечить постоянный контроль активности.
Исследователи разделяют два источника риска. Первый связан с кодом, который агент загружает в виде расширений и «навыков». Их часто распространяют через публичный каталог ClawHub. Установка такого навыка, по сути, равна установке стороннего кода с привилегиями. Второй источник связан с инструкциями, которые агент получает из внешнего текста. Платформа Moltbook, где агенты обмениваются сообщениями через программные интерфейсы, может превратиться в канал массовой доставки вредоносных указаний. Один опубликованный пост способен повлиять сразу на несколько агентов.