Varningen: Cyberkriminella kan utnyttja din AI-agent

– Jag säljer root-åtkomst till en vd:s dator för 25 000 dollar. Men det riktiga värdet? Hans AI-assistent. Han pratar med den just nu medan jag skriver detta.

Det som erbjuds är alltså inte bara kontrollen över vd:ns dator. Det verkligt värdefulla är den information som AI-assistenten redan har samlat på sig. I fallet Openclaw kan det handla om lösenord, API-nycklar, affärsplaner och personliga konversationer. I fel händer kan denna information få mycket stora negativa konsekvenser.

Openclaw brukar beskrivas som en AI-assistent med öppen källkod som körs lokalt på användarens dator. Det innebär att den har direkt åtkomst till både filsystem och nätverk, vilket gör den användbar som produktivitetsverktyg. Men just detta gör också att assistenten blir särskilt intressant för angripare.

Enligt Cato CTRL:s analys lagrar Openclaw all data i okrypterade textfiler. Det gäller även API-nycklar och konversationer. Konsekvensen blir att den som får åtkomst till maskinen också kan komma åt allt som assistenten har samlat in. Därmed blir AI-assistenten inte bara ännu ett program på datorn, utan en samlingspunkt för all slags känslig information.

Medan en vanlig bakdörr kan ge angriparen åtkomst till ett system eller en applikation riskerar en komprometterad AI-assistent att ha samlat känslig information från flera olika källor. Angriparen behöver inte leta lika aktivt eftersom assistenten redan gjort en stor del av arbetet.

Cato CTRL uppger att forskarna identifierade över 45 000 internetexponerade Openclaw-instanser. Av dessa bedöms omkring 30 000 redan vara aktivt komprometterade. I rapporten lyfts tre allvarliga sårbarheter fram, bland annat en som gör det möjligt att bryta sig ut ur Docker-sandlådan.

Kan skapa en ny angreppsyta

För it-chefer och säkerhetsansvariga är den centrala frågan därför inte bara vilka AI-verktyg som används i organisationen, utan hur de används, var de körs och vilken information de får tillgång till. Ett lokalt verktyg med breda behörigheter kan vara attraktivt ur ett produktivitetsperspektiv, men samtidigt skapa en ny angreppsyta.

Forskarna vid Cato CTRL konstaterar att problemet inte är AI-tekniken i sig. Det handlar snarare om att säkerheten inte har hängt med när AI-assistenter snabbt har fått mer avancerade funktioner och större åtkomst till användarnas digitala arbetsmiljö. När ett verktyg av detta slag dessutom lagrar känslig information okrypterat uppstår ett angreppsmål som kan vara betydligt mer värdefullt än själva datorn.

Det gör också att organisationer behöver se på AI-assistenter med samma allvar som andra verksamhetskritiska verktyg. De bör inte betraktas som fristående hjälpmedel som användarna själva kan installera och konfigurera utan styrning. Om assistenten kan läsa filer, hantera nycklar, komma åt nätverk och föra konversationer om affärskritiska frågor behöver den också omfattas av organisationens säkerhetspolicyer.

Cato CTRL:s forskning understryker behovet av att inventera vilka AI-verktyg som faktiskt används i verksamheten. Det gäller särskilt verktyg som körs lokalt och har breda behörigheter. Organisationer behöver förstå vilka data dessa verktyg hanterar, hur informationen lagras och om instanser på något sätt exponeras mot internet.

Forskarna rekommenderar också att verktyg som Openclaw inte exponeras mot internet utan adekvata skyddsmekanismer. Därutöver behöver organisationer ha tydliga policyer för vilka AI-assistenter som är godkända att använda i verksamheten.