Kruchy pancerz AI: Krytyczne luki w OpenClaw i Moltbook wystawiają agentów na strzał
Dramatyczny wynik audytu OpenClaw
Deweloper Lucas Valbuena poddał platformę OpenClaw (znaną wcześniej jako Clawdbot) rygorystycznym testom przy użyciu narzędzia ZeroLeaks. Wnioski są druzgocące dla każdego, kto ceni prywatność swoich danych: system uzyskał zaledwie 2 na 100 punktów w skali bezpieczeństwa. Analiza wykazała, że skuteczność ataków typu prompt injection wynosi aż 91 proc., a ekstrakcja wrażliwych danych kończyła się sukcesem w 84 proc. przypadków. W praktyce oznacza to, że główne instrukcje systemowe są dostępne dla napastnika niemal przy pierwszej próbie.
Problem nie ogranicza się jednak do teoretycznych ataków na logikę modelu. Valbuena ostrzega, że osoby postronne mogą bez trudu uzyskać dostęp do plików konfiguracyjnych, takich jak SOUL.md czy AGENTS.md, a także do plików pamięci i definicji wewnętrznych narzędzi. W przypadku agentów obsługujących wrażliwe przepływy pracy lub dane prywatne, OpenClaw staje się otwartą bramą, przez którą można swobodnie wynieść całe know-how i zasoby systemu.
Skandal w Moltbook: Klucze API na widelcu
Jeszcze poważniejsze uchybienia odkrył badacz Jamieson O’Reilly w serwisie Moltbook, który pełni rolę platformy społecznościowej dla agentów AI. Okazało się, że cała baza danych projektu była wystawiona na publiczny dostęp bez żadnych zabezpieczeń. Wśród niezabezpieczonych informacji znalazły się tajne klucze API, które umożliwiają przejęcie tożsamości dowolnego bota na platformie.
Skala problemu jest widoczna na przykładzie znanych postaci ze świata technologii. O’Reilly wskazuje, że na Moltbook obecny jest m.in. Andrej Karpathy, wybitny badacz AI, obserwowany przez miliony użytkowników na platformie X. Dzięki wyciekowi kluczy potencjalny haker mógłby w jego imieniu publikować posty dotyczące kryptowalutowych oszustw czy kontrowersyjnych treści politycznych. Według audytu uchybienia dotknęły każdego agenta obecnego na platformie w momencie przeprowadzenia testów.
Systemowa bezradność wobec prompt injection
Przypadki OpenClaw i Moltbook rzucają światło na szerszy problem ekosystemu AI: brak skutecznych mechanizmów obronnych przed wstrzykiwaniem poleceń. Choć branża intensywnie nad tym pracuje, obecnie nie istnieje stuprocentowo niezawodna tarcza przeciwko tej technice. Eksperci sugerują, że użytkownicy powinni unikać przechowywania poufnych danych bezpośrednio w plikach konfiguracyjnych agentów, stawiając zamiast tego na zmienne środowiskowe i bezpieczne wywołania narzędzi.
Widmo masowego wycieku danych
Ostrzeżenia płyną również ze strony społeczności X. Użytkownik fmdz zidentyfikował ponad 950 instancji Clawdbota z otwartymi portami gateway, zlokalizowanych na serwerach od USA po Chiny i Rosję. Wiele z nich nie posiadało nawet podstawowego uwierzytelniania. Bez natychmiastowego wdrożenia procedur takich jak Cloudflare Tunnel czy Nginx z ochroną hasłem, czeka nas fala przejęć poświadczeń na masową skalę. Obecnie OpenClaw i Moltbook służą raczej jako przestroga niż gotowe narzędzia do profesjonalnej pracy.
