עוד יום – עוד פגיעות במולטבוק

מאז שהרשת החברתית לסוכני AI, מולטבוק, נחשפה לפני ימים אחדים, מדי יום מתפרסמות ידיעות על עוד פגיעויות בה, ואתמול (ג') אף דיווחנו ש-וויז חשפה בה "פער אבטחה גדול". היום אנחנו יודעים לספר על כמעט 400 תוספי מסחר קריפטו מזויפים, שנמצאו ברשת החברתית הכל סוכנית.

התוספים, Skills (כישורים, מיומנויות), נחשפו בתשתית הקוד הפתוח של OpenClaw, שעליה הרשת החברתית החדשה מבוססת. הם מתחזים לכלי אוטומציה למסחר במטבעות קריפטוגרפיים, כמו גם לרשתות חברתיות ואתרי הימורים, ומכוונים ל-בייביט, פולי מרקט, אקסיום, רדיט ולינקדאין.

כל מופעי OpenClaw מחוברים למודלים של בינה מלאכותית יוצרת, ובמיוחד לקלוד של אנת'רופיק. המשתמשים יכולים לתקשר עם העוזר באפליקציות מסרים דוגמת ווטסאפ, סלאק וטלגרם.

יותר משתמשים – יותר פערי אבטחה שמתגלים

הפרויקט הושק בשנה שעברה על ידי פיטר שטיינברגר, תחת השם ClawBot. לאחר מכן הוא מותג מחדש ל-MoltBot, לבקשת אנת'רופיק, ובסוף ינואר השנה שונה ל-OpenClaw. במקביל להתפשטות הוויראלית שלו, חוקרי אבטחה החלו להזהיר בדחיפות מפני פערי אבטחה משמעותיים בפרויקט.

בלב רבים מדו"חות האבטחה נמצאים תוספים, "מיומנויות סוכן" – תיקיות של הוראות, סקריפטים ומשאבים, שהסוכנים עושים בהם שימוש כדי לבצע משימות ביותר דיוק ויעילות.

ג'יימיסון אוריילי, בודק פטנטים ומייסד DVULN, פרסם כמה דו"חות על כשלים באבטחת הפרויקט, כולל דיווח על שרתי בקרה של OpenClaw חשופים ומיומנות הוכחת היתכנות שכוללת דלת אחורית.

הכישורים המתחזים

המחקר האחרון מגיע מחוקר הפגיעויות פול מקארת'י, המכונה 6mile. מקארת'י מצא 386 מיומנויות זדוניות, שפורסמו ב-ClawHub, מאגר מיומנויות לעוזרי OpenClaw.

הכישורים מתחזים לכלי אוטומציה למסחר במטבעות קריפטוגרפיים, תוך שימוש, כאמור, במותגים מוכרים. הם מספקים גנבי מידע המיועדים למערכות macOS ו-Windows. כל הכישורים הללו חולקים את אותה תשתית פקודה ושליטה, ומשתמשים בהנדסה חברתית מתקדמת כדי לשכנע משתמשים לבצע פקודות זדוניות שגונבות נכסי קריפטו – כמו מפתחות API להחלפה, מפתחות פרטיים בארנק, פרטי התחברות, חתימות וסיסמאות לדפדפן.

"ההאקר מבקש מהקורבן לעשות משהו, מה שמוביל להתקנת הנוזקה. זו בעצם הגרסה של ClawHub ל-'ClickFix'", כתב מקארת'י. הוא פרסם ברשת כי פנה לצוות OpenClaw ולשטיינברגר, יוצר הרשת החברתית הסוכנית, וזה השיב לו ש-"יש יותר מדי מה לעשות כדי לטפל בבעיה הזו".

מקארת'י גם ציין שרוב ה-"כישורים" הזדוניים עדיין זמינים במאגר הרשמי של ClawHub/MoltHub בגיטהאב, ותשתית השליטה והבקרה (C2) נראית עדיין פעילה.

"מתקפת שרשרת האספקה הזו לא דורשת ניצול טכני, אלא נסמכת על הנדסה חברתית והיעדר ביקורת אבטחה בתהליך פרסום הכישורים", סיכם מקארת'י. "המיקוד בסוחרי מטבעות קריפטוגרפיים מרמז על מניע פיננסי ובחירה זהירה של קורבנות בעלי ערך גבוה".

התיאבון של סוכני ה-AI לסיכונים

דיאנה קלי, מומחית בינה מלאכותית ומנהלת מידע בנומה סקיוריטי, אמרה כי "בעיה מוכרת בשרשרת האספקה, שנוגעת לאמון ולהפעלת תוספים של צד שלישי, הופכת לאיום בעל נזק והשפעה גדולים יותר: מפעיל מונע על ידי AI שמבצע פעולות תחת הרשאות המשתמש".

היא הוסיפה כי "נושאי אבטחה עם סוכנים אוטונומיים כמו OpenClaw אינם רק 'סיכוני כלי AI חדשים'. הם צריכים לעורר שיח על עיצוב ארכיטקטוני והתיאבון של הסוכנים לסיכונים. חלקנו מסתכלים על עוזרים סוכנים כאילו הם צ'טבוטים חכמים יותר. הם לא. כשבני אנוש מאפשרים לסוכנים לבצע פעולות, הסוכנים 'יורשים' את הזכויות שלהם ומרחיבים את גבול האמון לכל מקום שבו הם פועלים. כך נוצרים תנאים אידיאליים להתקפות 'בלבול', כמו התחזות, טעויות הקלדה ומאגרים מזויפים".

"נציג האבטחה החדש של הפרויקט"

אנשי OpenClaw בחרו, בחוכמה, לחבק את אוריילי ומינו אותו לתפקיד "נציג האבטחה החדש של הפרויקט". הוא אמר לאינפו סקיוריטי כי התנדב "לסייע לפרויקט ביוזמות אבטחה אסטרטגיות. האנשים שמאחורי OpenClaw מודעים מאוד לחששות שהועלו בדו"ח של מקארת'י ולוקחים את הנושא ברצינות".

לדבריו, "אבטחת שרשרת האספקה לפלטפורמות סוכני AI היא אתגר שכל התעשייה מתמודדת איתו. כפרויקט קוד פתוח, אנחנו נסמכים על שילוב של ערנות קהילתית ושליטה טכנית. נפרסם בימים הקרובים הודעת אבטחה, שתסייע להתמודד עם הסיכונים הללו ואחרים".

אוריילי הוסיף כי "סוכני ה-AI מייצגים שינוי יסודי: בניגוד לתוכנה מסורתית, שעושה בדיוק את מה שהקוד אומר לה, הם מפרשים שפה טבעית ומקבלים החלטות לגבי פעולות. הם מטשטשים את הגבול בין כוונת המשתמש לביצוע המכונה. אפשר לשלוט בהם דרך השפה עצמה. עם התועלת הגדולה של הכלי – מגיעה אחריות גדולה. אם עושים זאת לא נכון, סוכן ה-AI הוא נטל. אם נעשה זאת נכון, נוכל לשנות את המחשוב האישי לטובה, לנצח".