Kibernetički stručnjaci posljednja su dva tjedna radili danonoćno kako bi zakrpali najbrže rastuću platformu za agentsku automatizaciju – OpenClaw. Iako je šest različitih timova isporučilo jednako toliko alata obrane, tri ključne ranjivosti i dalje prolaze ispod radara klasičnih sigurnosnih sustava.
1. Semantička eksfiltracija u stvarnom vremenu
Napad skriva zlonamjernu naredbu u samom značenju poruke, a ne u binarnom uzorku. Agent izvršava legalan API poziv vlastitim OAuth tokenima i tako iznosi podatke. Vatrozid bilježi „HTTP 200”, EDR vidi legitiman proces, a nijedan potpis ne reagira – za tradicionalnu sigurnosnu infrastrukturu „ništa se loše nije dogodilo”. Palo Alto Networks opisuje tu kombinaciju privatnog pristupa podacima, neprovjerenog sadržaja i izlazne komunikacije kao „smrtonosni trojac”.
2. Curanje konteksta među agentima
Kada više agenata dijeli radnu memoriju, injekcija prompta u jednom kanalu može tiho zatrovati odluke cijelog lanca. Istraživači Giskarda u siječnju su pokazali kako agent u pozadini zapisuje naredbe napadača u vlastite radne datoteke, čeka tjednima i aktivira se tek pri nekom drugom zadatku. „Ova je rupa posebno tvrda jer je duboko povezana s prompt-injekcijom, ranjivošću većom od samog OpenClawa”, upozorava Jamieson O’Reilly, savjetnik projekta.
3. Lanci povjerenja bez međusobne autentikacije
OpenClaw agenti delegiraju zadatke drugima bez provjere identiteta. Ako napadač preuzme samo jednog, stječe ovlasti cijelog lanca. Microsoft ga opisuje kao „izvršavanje nepouzdanog koda s trajnim vjerodajnicama”, a Kaspersky podsjeća da agenti na osobnim uređajima nose VPN konfiguracije, pregledničke tokene i pristup korporativnim servisima.
Što su popravci ipak donijeli
Alati su se razvili u tri smjera:
• ClawSec i VirusTotal skeniraju i nadziru postojeće agente. • IronClaw (Rust) i Carapace (open-source) prepisuju arhitekturu, izvodeći svaki alat u zasebnom WebAssembly ili OS sandboxu, s vjerodajnicama ubrizganima tek na granici hosta. • Cisco skener i NanoClaw nude statičku i semantičku analizu, odnosno minimalni kod od 500 redaka koji se vrti u izoliranom kontejneru.
Unatoč tome, nijedno rješenje još ne izolira zajednički kontekst, ne prati semantičko ponašanje niti uspostavlja dvosmjernu autentikaciju među agentima.
Standard koji tretira „skillove” kao izvršne datoteke
O’Reilly je predao prijedlog specifikacije kojom bi svaki skill prije pokretanja morao eksplicitno oglasiti dopuštenja, slično manifestu mobilnih aplikacija. Ideja već dobiva snažnu podršku zajednice jer po prvi put tretira skillske pakete kao ono što doista jesu – izvršne datoteke s pravima.
Šest koraka za ponedjeljak ujutro
- Popišite sve instance: tražite WebSocket promet na portu 18 789 i mDNS na 5 353.
- Naredite izolirano izvođenje – kontejneri s ograničenim vjerodajnicama.
- Instalirajte ClawSec, a svaki skill provucite kroz VirusTotal i Cisco skener prije uporabe.
- Uključite „human-in-the-loop”: za osjetljive radnje postavite način „ask”.
- U rizničar stavite tri preostale rupe i odlučite prihvaćate li, ublažavate ili blokirate rizik.
- Iznesite matricu obrane pred upravu – riječ je o izravnom zaobilaženju postojećih DLP i IAM ulaganja.
Sigurnosni sustavi koje smo gradili da love zlonamjerni kod ne hvataju agenta koji izvršava zlonamjernu uputu legalnim API pozivom. Upravo tamo danas žive najveće rupe u OpenClawu.