ผู้โจมตีทางไซเบอร์ได้ค้นพบช่องทางโจมตีใหม่ในระบบผู้ช่วย AI ส่วนบุคคล โดยการโจมตีล่าสุดเผยให้เห็นว่าโปรแกรม Infostealers กำลังพุ่งเป้าไปที่ไฟล์คอนฟิกูเรชันของ OpenClaw เพื่อขโมยข้อมูลประจำตัวสำหรับการยืนยันตัวตนที่ละเอียดอ่อนและข้อมูลส่วนบุคคล ซึ่งถือเป็นการเปลี่ยนแปลงที่อันตรายของพฤติกรรมมัลแวร์ จากการขโมยข้อมูลประจำตัวผ่านเบราว์เซอร์แบบเดิม ไปสู่การเก็บรวบรวมข้อมูลระบุตัวตนของผู้ช่วย AI และบริบททางดิจิทัลที่เกี่ยวข้องทั้งหมด ข้อมูลที่ถูกขโมยไปรวมถึงโทเค็นยืนยันตัวตนของเกตเวย์, คู่คีย์เข้ารหัสลับ และไฟล์หน่วยความจำที่เก็บกิจกรรมบันทึกและปฏิทิน การโจมตีนี้ใช้การสแกนไฟล์ทั่วไปเพื่อหาข้อมูลที่ละเอียดอ่อน ซึ่งหมายความว่า OpenClaw ถูกโจมตีโดยไม่ได้มีการเขียนมัลแวร์โดยเฉพาะในขั้นต้น แต่นักวิเคราะห์คาดการณ์ว่ามัลแวร์เฉพาะทางจะถูกพัฒนาขึ้นในอนาคต
Severity: สูง
System Impact:
- OpenClaw configurations
- ผู้ช่วย AI ส่วนบุคคล
- บริการคลาวด์ที่เชื่อมต่อกับผู้ช่วย AI
Technical Attack Steps:
- มัลแวร์ Infostealer ติดตั้งบนเครื่องเป้าหมาย
- มัลแวร์ทำการสแกนระบบเพื่อหาไฟล์และไดเรกทอรีที่มีข้อมูลสำคัญ (เช่น .openclaw)
- มัลแวร์ขโมยไฟล์คอนฟิกูเรชันของ OpenClaw เช่น openclaw.json และ device.json
- openclaw.json ที่ถูกขโมยมีข้อมูลอีเมล, ที่อยู่ Workspace และโทเค็นเกตเวย์
- device.json ที่ถูกขโมยมีคีย์เข้ารหัสลับสาธารณะและส่วนตัว ซึ่งใช้ในการจับคู่และการลงนามข้อความ
- ไฟล์ soul.md และเอกสารหน่วยความจำอื่นๆ ถูกขโมย เผยให้เห็นพฤติกรรมส่วนตัว, ข้อความส่วนตัว และกิจกรรมที่ AI เรียนรู้จากผู้ใช้
- ผู้โจมตีสามารถใช้โทเค็นและคีย์ที่ขโมยมาเพื่อแอบอ้างเป็นผู้ใช้งานในการเข้าถึงเกตเวย์ AI และอาจเข้าถึงบริการคลาวด์ที่เข้ารหัสลับได้
Recommendations:
Short Term:
- ตรวจสอบระบบเพื่อหารูปแบบการเข้าถึงไฟล์ที่ผิดปกติ โดยเฉพาะในไดเรกทอรีการกำหนดค่า
- เข้ารหัสไฟล์คอนฟิกูเรชันที่ละเอียดอ่อนเมื่อไม่ได้ใช้งาน เพื่อป้องกันการเปิดเผยข้อมูลประจำตัวแบบข้อความธรรมดา
Long Term:
- หมุนเวียนโทเค็นการยืนยันตัวตนและคีย์เข้ารหัสลับอย่างสม่ำเสมอ
- ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเข้าถึงเกตเวย์ของ AI Agent เฉพาะอุปกรณ์ที่ได้รับอนุญาตเท่านั้น
- เตรียมพร้อมสำหรับการพัฒนาโมดูลมัลแวร์เฉพาะทางที่มุ่งเป้าไปที่สภาพแวดล้อม AI Agent
Source: https://cybersecuritynews.com/threat-actors-attacking-openclaw-configurations/
Share this content: