OpenClaw postaje jedno od najkontroverznijih imena u svijetu kibernetičke sigurnosti. Ovaj open-source AI agent, koji može autonomno izvršavati zadatke na računalu, komunicirati s aplikacijama i upravljati podacima. Znamo da donosi ogromne prednosti, ali i ozbiljne sigurnosne rizike.
Najnovija istraživanja i analize pokazuju da OpenClaw može zaobići sigurnosne sustave poput EDR-a (Endpoint Detection and Response), DLP-a (Data Loss Prevention) i IAM-a (Identity and Access Management) i to bez aktiviranja ijednog alarma.
Ova činjenica označava novu fazu u razvoju kibernetičkih prijetnji, gdje napadi više ne dolaze samo izvana, već i iz samih sustava kojima vjerujemo.
Kako funkcionira OpenClaw?
OpenClaw je autonomni AI agent koji radi lokalno ili u oblaku i koristi velike jezične modele za izvršavanje zadataka.
Za razliku od klasičnih chatbotova, koji odgovaraju na upite bez stvarne interakcije sa sustavom, OpenClaw aktivno sudjeluje u radu.
Naime, donosi odluke, izvršava naredbe i povezuje se s različitim digitalnim alatima. Razumije što korisnik traži i poduzima konkretne korake kako bi taj zadatak obavio.
Također može:
- čitati i uređivati datoteke
- slati poruke i e-mailove
- izvršavati naredbe u sustavu
- povezivati se s aplikacijama i API-jevima
Temelj OpenClawa čini arhitektura koja kombinira više elemenata.
Spaja komunikacijske kanale (npr. Slack, WhatsApp, Discord), sloj umjetne inteligencije (LLM modeli), memoriju i skup alata ili “skills” koji omogućuju izvršavanje radnji.
Kada korisnik pošalje zahtjev, sustav ga obrađuje kroz tzv. gateway, prosljeđuje agentu koji analizira kontekst, odlučuje koje alate koristiti i zatim izvršava odgovarajuće akcije.
Ono što OpenClaw čini posebno moćnim jest činjenica da agent može planirati više koraka unaprijed i samostalno izvršavati složene zadatke, a ne samo reagirati na pojedinačne naredbe.
Zbog takvih mogućnosti zapravo djeluje kao digitalni zaposlenik. Stalno je aktivan, sposoban učiti iz interakcija i prilagođavati se korisnikovim potrebama. Može pratiti procese, automatizirati ponavljajuće zadatke i upravljati podacima bez potrebe za stalnim nadzorom.
Autonomija predstavlja njegovu najveću prednost, ali i najveći rizik. Problem nastaje u trenutku kada agent izvrši zlonamjernu ili manipuliranu naredbu, jer tada ne djeluje kao alat pod kontrolom korisnika, već kao akter koji može samostalno pokrenuti lanac radnji s ozbiljnim sigurnosnim posljedicama.
Kako zaobilazi sigurnosne sustave?
Jedna od najopasnijih karakteristika OpenClawa jest njegova sposobnost da zaobiđe tradicionalne sigurnosne mehanizme bez da pritom izazove sumnju.
Za razliku od klasičnih napada koje aktivira zlonamjerni kod ili neovlašteni pristup, OpenClaw djeluje unutar postojećih pravila sustava.
Izvor: https://www.youtube.com/watch?v=X4i3BFTK56c&utm
I tu, naime, leži problem. Ne provaljuje u sustav, već koristi ono što mu je već dopušteno.
U tipičnom scenariju napada, zlonamjerna instrukcija može biti skrivena u naizgled bezazlenom e-mailu, dokumentu ili drugom sadržaju koji agent obrađuje. OpenClaw takvu instrukciju interpretira kao legitimnu naredbu, jer nema inherentan mehanizam za razlikovanje sigurnog i nesigurnog sadržaja na razini konteksta.
Nakon toga, agent izvršava zadatak koristeći vlastite ovlasti. Pristupa datotekama, šalje podatke ili pokreće određene procese.
Vidimo da koristi legitimne kredencijale i API pristupe, odnosno djeluje kao ovlašteni korisnik. Zbog toga njegovo ponašanje ne odstupa od uobičajenih obrazaca rada koje sigurnosni sustavi prate.
Drugim riječima, ne zaobilazi sigurnost klasičnim tehnikama, već iskorištava činjenicu da sigurnosni sustavi vjeruju legitimnim korisnicima i procesima.
Time se briše granica između normalnog i zlonamjernog ponašanja, što ovu vrstu prijetnje čini posebno opasnom i teško uočljivom.
Napad bez ijednog upozorenja
Jedan od najzabrinjavajućih scenarija uključuje tzv. “silent attack”.
Napadač može:
- poslati e-mail s jednom skrivenom instrukcijom
- OpenClaw automatski izvrši naredbu
- podaci se šalju van sustava
- nema upozorenja, alarma ni logova
Ovakav pristup potpuno mijenja pravila igre u kibernetičkoj sigurnosti. Umjesto detekcije zlonamjernog koda, sustavi se suočavaju s legitimnim operacijama koje su zloupotrijebljene.
Kad AI ima previše ovlasti
Dodatni rizik proizlazi iz činjenice da agent u nekim slučajevima ima širi pristup nego pojedini zaposlenici. I tada postaje idealna meta napada.
Iako omogućuju fleksibilnost i automatizaciju, mnogi od tih dodataka nisu dovoljno provjereni i omogućuju izvršavanje naredbi direktno u sustavu.
Istraživanje pokazuje da pojedini “skills” mogu krasti API ključeve, pokretati skripte i slati podatke izvan sustava, što znači da njihova instalacija u može imati isti učinak kao instalacija malwarea.
Ono što dodatno zabrinjava jest činjenica da ovo nije samo teorijska prijetnja, već postoje konkretni primjeri napada.
U jednom scenariju napadač navodi korisnika na posjet zlonamjernoj web stranici koja krade autentikacijski token, nakon čega preuzima kontrolu nad agentom i izvršava radnje bez znanja korisnika.
U drugim slučajevima identificirane su tisuće OpenClaw instanci bez odgovarajuće autentikacije, stotine sigurnosnih ranjivosti te nešifrirani API ključevi koji su bili javno dostupni.
Sve to jasno pokazuje da je ekosustav još uvijek u ranoj fazi razvoja i nedovoljno zaštićen, što OpenClaw čini ne samo inovativnim alatom, već i potencijalno ozbiljnom sigurnosnom prijetnjom.
Prompt injection iskorištava povjerenje sustava
OpenClaw je posebno ranjiv na tzv. prompt injection napade, koji predstavljaju jednu od najopasnijih i najteže detektabilnih metoda manipulacije AI agentima.
U takvom scenariju napadač ubacuje zlonamjerne upute u tekstualni sadržaj. Agent ih interpretira kao legitimne naredbe.
Budući da OpenClaw nema pouzdan mehanizam za razlikovanje sigurnih i zlonamjernih instrukcija na razini konteksta, on te upute izvršava bez dodatne provjere. Posljedice mogu biti curenje osjetljivih podataka, izmjene datoteka, zatim, pokretanje skripti i drugih rizičnih operacija unutar sustava.
Ono što dodatno zabrinjava jest činjenica da tradicionalni sigurnosni alati u ovakvim situacijama često ne reagiraju. Razlog je taj što OpenClaw koristi legitimne procese i postojeće korisničke ovlasti, pa njegove aktivnosti ne izgledaju kao klasični malware ili neovlašteni pristup. Radi te nevidljivosti prompt injection postaje popriličan izazov za sigurnost.
Rizike možete smanjiti na sljedeće načine:
- ograničiti privilegije agenata
- koristiti sandbox okruženja
- validirati sve vanjske instrukcije
- nadzirati aktivnosti u realnom vremenu
- redovito provoditi sigurnosne audite
I za kraj, posebno je važno uvesti human-in-the-loop pristup, gdje čovjek odobrava kritične radnje.
