📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Duas equipes de segurança mostraram, em uma pesquisa separada publicada esta semana, que o OpenClaw, o popular agente de IA auto-hospedado, pode ser levado a executar códigos controlados por invasores ou entregar dados confidenciais por meio de entradas de aparência comum.
A Imperva enterrou instruções em contatos compartilhados, vCards e pinos de localização que o agente executou sem que a vítima os visse. Varonis construiu um agente de teste na plataforma, forneceu-lhe uma caixa de correio cheia de dados de negócios sintéticos e viu um único e-mail simples convencê-lo a encaminhar chaves falsas da AWS e uma exportação falsa de cliente para um endereço externo.
A falha encontrada pelo Imperva foi corrigida no OpenClaw 2026.4.23, então atualize se você executá-lo. A fraqueza do phishing que Varonis encontrou não é algo que um patch corrija; tudo se resume a limitar o que o agente pode fazer por conta própria.
Portas diferentes para uma mesma sala: o agente confia no que chega até ele e seu acesso passa a ser do atacante.
Comandos ocultos em um contato compartilhado
O pesquisador da Imperva, Yohann Sillam, analisou como o OpenClaw entrega dados de mensagens ao modelo por trás dele. O problema está no encanamento.
Quando o agente passa um contato, vCard ou local compartilhado para o LLM, ele nivela o objeto no texto de prompt embutido, sem nenhum limite marcando-o como não confiável. O conteúdo que o agente busca na web é encapsulado em um marcador de conteúdo não confiável. Objetos de mensagem não.
Apenas alguns campos viajam para o modelo, e é disso que o ataque abusa. Um contato compartilhado envia apenas o campo nome, serializado como. Os colchetes angulares são válidos em um nome, portanto, o modelo não pode dizer onde termina o nome real e começa uma instrução injetada. O nome do contato é truncado onde aparece na tela, tanto no WhatsApp quanto no aplicativo receptor, para que a vítima também não veja a carga útil.
O mesmo truque funciona por meio do campo de nome completo do vCard, que o WhatsApp suporta nativamente, e por meio do rótulo em um PIN de localização compartilhado.
Nos testes da Imperva contra o Gemini 3.1 Pro (versão prévia), o texto oculto dizia ao agente para baixar e executar um script de um servidor controlado pelos pesquisadores. Isso aconteceu. Uma imagem simples com instruções ocultas falhou, provavelmente porque o ataque foi relatado com tanta frequência que os modelos agora estão treinados para resistir a ele; a rota mensagem-objeto funcionou porque os modelos viram muito menos exemplos dela.
Com a memória do OpenClaw ativada por padrão, alerta Imperva, um único conteúdo amplamente compartilhado contendo uma instrução oculta pode comprometer silenciosamente os agentes que o ingerem, se eles não estiverem na área restrita.
A Imperva divulgou o problema e o OpenClaw enviou uma correção na versão 2026.4.23 que move nomes de contatos, campos vCard e rótulos de localização para fora do corpo do prompt e para um canal separado de metadados não confiáveis. A Imperva encontrou o mesmo padrão de achatamento em outros assistentes pessoais de IA, então o problema subjacente não é apenas do OpenClaw.
Um e-mail normal é suficiente
O Varonis Threat Labs veio para o OpenClaw do ponto de vista social. Na pesquisa liderada por Itay Yashar, a equipe construiu um agente chamado Pinchy na plataforma, conectou-o a uma caixa de entrada do Gmail repleta de desordem comercial realista, mas sintética, e segredos falsos, e executou-o por meio de quatro simulações de phishing no Google Gemini 3.1 Pro e OpenAI Codex GPT-5.4.
Eles traçam uma linha entre a injeção imediata, que oculta instruções nos dados, e o que chamam de phishing do agente: uma solicitação confiável que chega por um canal normal e funciona porque o agente age antes de verificar quem a enviou.
O agente falhou em ambos os testes de exfiltração. No primeiro, uma mensagem se passando por um líder de equipe chamado Dan, enviada de um endereço externo do Gmail, solicitava acesso temporário durante um falso incidente de produção. Pinchy encontrou as credenciais e encaminhou chaves de acesso simuladas do AWS IAM, cadeias de conexão de banco de dados e credenciais SSH em texto simples.
O segundo pretexto foi mais suave: um pedido rotineiro de exportação semanal do cliente, supostamente para um deck QBR. O agente enviou um conjunto de dados sintético de 247 clientes empresariais, incluindo contatos e valores de contrato. Ambas as falhas ocorreram sob um perfil estrito que pedia ao agente para verificar primeiro os remetentes. A regra existia. A urgência venceu uma vez, a rotina venceu na segunda vez.
O agente se saiu melhor quando a ameaça era técnica e não social. Ele interagiu com uma página de phishing de vale-presente, mas reteve credenciais reais e acabou sinalizando-a; o perfil estrito bloqueou a página completamente. Em uma tela de consentimento maliciosa do OAuth disfarçada como um aplicativo de quadro de horários, ele inspecionou o alvo de redirecionamento, considerou-o suspeito e parou antes de conceder acesso.
Essa é a divisão que Varonis traça: o agente é melhor do que muitas pessoas na detecção de URLs ruins e portais de login falsos, e pior no julgamento social que faz uma pausa humana quando um colega repentinamente pede credenciais em um horário estranho. O dr
A Imperva enterrou instruções em contatos compartilhados, vCards e pinos de localização que o agente executou sem que a vítima os visse. Varonis construiu um agente de teste na plataforma, forneceu-lhe uma caixa de correio cheia de dados de negócios sintéticos e viu um único e-mail simples convencê-lo a encaminhar chaves falsas da AWS e uma exportação falsa de cliente para um endereço externo.
A falha encontrada pelo Imperva foi corrigida no OpenClaw 2026.4.23, então atualize se você executá-lo. A fraqueza do phishing que Varonis encontrou não é algo que um patch corrija; tudo se resume a limitar o que o agente pode fazer por conta própria.
Portas diferentes para uma mesma sala: o agente confia no que chega até ele e seu acesso passa a ser do atacante.
Comandos ocultos em um contato compartilhado
O pesquisador da Imperva, Yohann Sillam, analisou como o OpenClaw entrega dados de mensagens ao modelo por trás dele. O problema está no encanamento.
Quando o agente passa um contato, vCard ou local compartilhado para o LLM, ele nivela o objeto no texto de prompt embutido, sem nenhum limite marcando-o como não confiável. O conteúdo que o agente busca na web é encapsulado em um marcador de conteúdo não confiável. Objetos de mensagem não.
Apenas alguns campos viajam para o modelo, e é disso que o ataque abusa. Um contato compartilhado envia apenas o campo nome, serializado como
O mesmo truque funciona por meio do campo de nome completo do vCard, que o WhatsApp suporta nativamente, e por meio do rótulo em um PIN de localização compartilhado.
Nos testes da Imperva contra o Gemini 3.1 Pro (versão prévia), o texto oculto dizia ao agente para baixar e executar um script de um servidor controlado pelos pesquisadores. Isso aconteceu. Uma imagem simples com instruções ocultas falhou, provavelmente porque o ataque foi relatado com tanta frequência que os modelos agora estão treinados para resistir a ele; a rota mensagem-objeto funcionou porque os modelos viram muito menos exemplos dela.
Com a memória do OpenClaw ativada por padrão, alerta Imperva, um único conteúdo amplamente compartilhado contendo uma instrução oculta pode comprometer silenciosamente os agentes que o ingerem, se eles não estiverem na área restrita.
A Imperva divulgou o problema e o OpenClaw enviou uma correção na versão 2026.4.23 que move nomes de contatos, campos vCard e rótulos de localização para fora do corpo do prompt e para um canal separado de metadados não confiáveis. A Imperva encontrou o mesmo padrão de achatamento em outros assistentes pessoais de IA, então o problema subjacente não é apenas do OpenClaw.
Um e-mail normal é suficiente
O Varonis Threat Labs veio para o OpenClaw do ponto de vista social. Na pesquisa liderada por Itay Yashar, a equipe construiu um agente chamado Pinchy na plataforma, conectou-o a uma caixa de entrada do Gmail repleta de desordem comercial realista, mas sintética, e segredos falsos, e executou-o por meio de quatro simulações de phishing no Google Gemini 3.1 Pro e OpenAI Codex GPT-5.4.
Eles traçam uma linha entre a injeção imediata, que oculta instruções nos dados, e o que chamam de phishing do agente: uma solicitação confiável que chega por um canal normal e funciona porque o agente age antes de verificar quem a enviou.
O agente falhou em ambos os testes de exfiltração. No primeiro, uma mensagem se passando por um líder de equipe chamado Dan, enviada de um endereço externo do Gmail, solicitava acesso temporário durante um falso incidente de produção. Pinchy encontrou as credenciais e encaminhou chaves de acesso simuladas do AWS IAM, cadeias de conexão de banco de dados e credenciais SSH em texto simples.
O segundo pretexto foi mais suave: um pedido rotineiro de exportação semanal do cliente, supostamente para um deck QBR. O agente enviou um conjunto de dados sintético de 247 clientes empresariais, incluindo contatos e valores de contrato. Ambas as falhas ocorreram sob um perfil estrito que pedia ao agente para verificar primeiro os remetentes. A regra existia. A urgência venceu uma vez, a rotina venceu na segunda vez.
O agente se saiu melhor quando a ameaça era técnica e não social. Ele interagiu com uma página de phishing de vale-presente, mas reteve credenciais reais e acabou sinalizando-a; o perfil estrito bloqueou a página completamente. Em uma tela de consentimento maliciosa do OAuth disfarçada como um aplicativo de quadro de horários, ele inspecionou o alvo de redirecionamento, considerou-o suspeito e parou antes de conceder acesso.
Essa é a divisão que Varonis traça: o agente é melhor do que muitas pessoas na detecção de URLs ruins e portais de login falsos, e pior no julgamento social que faz uma pausa humana quando um colega repentinamente pede credenciais em um horário estranho. O dr
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novos #ataques #enganam #o #agente #openclaw #ai #para #executar #código #e #vazar #segredos
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário