Una vulnerabilidad previamente desconocida en OpenAI ChatGPT permitió que se filtraran datos confidenciales de conversaciones sin el conocimiento o consentimiento del usuario, según nuevos hallazgos de Check Point.

«Un solo aviso malicioso podría convertir una conversación ordinaria en un canal de exfiltración encubierto, filtrando mensajes de usuarios, archivos cargados y otro contenido sensible», dijo la empresa de ciberseguridad. dicho en un informe publicado hoy. «Un GPT con puerta trasera podría abusar de la misma debilidad para obtener acceso a los datos del usuario sin el conocimiento o el consentimiento del usuario».

Tras una divulgación responsable, OpenAI abordó el problema el 20 de febrero de 2026. No hay evidencia de que el problema haya sido explotado alguna vez en un contexto malicioso.

Si bien ChatGPT está construido con varias barreras de seguridad para evitar el intercambio o generación de datos no autorizados. solicitudes de red salientes directasla vulnerabilidad recientemente descubierta elude por completo estas salvaguardas al explotar un canal lateral que se origina en el tiempo de ejecución de Linux utilizado por el agente de inteligencia artificial (IA) para la ejecución de código y el análisis de datos.

Específicamente, abusa de una ruta de comunicación oculta basada en DNS como un «mecanismo de transporte encubierto» al codificar información en solicitudes de DNS para sortear las barreras de seguridad visibles de la IA. Es más, la misma ruta de comunicación oculta podría usarse para establecer un acceso remoto al shell dentro del tiempo de ejecución de Linux y lograr la ejecución de comandos.

En ausencia de cualquier advertencia o diálogo de aprobación del usuario, la vulnerabilidad crea un punto ciego de seguridad, y el sistema de inteligencia artificial supone que el entorno estaba aislado.

Como ejemplo ilustrativo, un atacante podría convencer a un usuario de que pegue un mensaje malicioso haciéndolo pasar como una forma de desbloquear capacidades premium de forma gratuita o mejorar el rendimiento de ChatGPT. La amenaza se magnifica cuando la técnica está integrada dentro de GPT personalizados, ya que la lógica maliciosa podría incorporarse en lugar de engañar al usuario para que pegue un mensaje especialmente diseñado.

«Lo más importante es que, debido a que el modelo operaba bajo el supuesto de que este entorno no podía enviar datos directamente, no reconocía ese comportamiento como una transferencia de datos externa que requería resistencia o mediación del usuario», explicó Check Point. «Como resultado, la filtración no generó advertencias sobre los datos que salían de la conversación, no requirió confirmación explícita del usuario y permaneció en gran medida invisible desde la perspectiva del usuario».

Con herramientas como ChatGPT cada vez más integradas en entornos empresariales y usuarios cargando información muy personal, vulnerabilidades como estas subrayan la necesidad de que las organizaciones implementen su propia capa de seguridad para contrarrestar las inyecciones rápidas y otros comportamientos inesperados en los sistemas de IA.

«Esta investigación refuerza una dura verdad para la era de la IA: no asuma que las herramientas de IA son seguras por defecto», dijo Eli Smadja, jefe de investigación de Check Point Research, en un comunicado compartido con The Hacker News.

«A medida que las plataformas de IA evolucionan hacia entornos informáticos completos que manejan nuestros datos más confidenciales, los controles de seguridad nativos ya no son suficientes por sí solos. Las organizaciones necesitan visibilidad independiente y protección en capas entre ellas y los proveedores de IA. Así es como avanzamos de manera segura: repensando la arquitectura de seguridad para la IA, sin reaccionar al siguiente incidente».

El desarrollo se produce cuando se ha observado que los actores de amenazas publican extensiones de navegador web (o actualizan las existentes) que participan en la dudosa práctica de caza furtiva rápida para desviar silenciosamente conversaciones de chatbot de IA sin el consentimiento del usuario, destacando cómo complementos aparentemente inofensivos podrían convertirse en un canal para la filtración de datos.

«Casi no hace falta decir que estos complementos abren las puertas a varios riesgos, incluido el robo de identidad, campañas de phishing dirigidas y la venta de datos confidenciales en foros clandestinos», dijo el investigador de Expel, Ben Nahorney. dicho. «En el caso de organizaciones donde los empleados pueden haber instalado estas extensiones sin saberlo, es posible que hayan expuesto propiedad intelectual, datos de clientes u otra información confidencial».

La vulnerabilidad de inyección de comandos en OpenAI Codex lleva a un compromiso del token de GitHub

Los hallazgos también coinciden con el descubrimiento de una vulnerabilidad crítica de inyección de comandos en OpenAI. Códiceun agente de ingeniería de software basado en la nube, que podría haber sido aprovechado para robar datos de credenciales de GitHub y, en última instancia, comprometer a varios usuarios que interactúan con un repositorio compartido.

«La vulnerabilidad existe dentro de la solicitud HTTP de creación de tareas, que permite a un atacante contrabandear comandos arbitrarios a través del parámetro de nombre de rama de GitHub», dijo el investigador de BeyondTrust Phantom Labs, Tyler Jespersen. dicho en un informe compartido con The Hacker News. «Esto puede resultar en el robo del token de acceso de usuario de GitHub de la víctima, el mismo token que Codex usa para autenticarse con GitHub».

El problema, según BeyondTrust, se debe a una limpieza inadecuada de la entrada al procesar nombres de ramas de GitHub durante la ejecución de tareas en la nube. Debido a esta insuficiencia, un atacante podría inyectar comandos arbitrarios a través del parámetro de nombre de rama en una solicitud HTTPS POST a la API del Codex backend, ejecutar cargas útiles maliciosas dentro del contenedor del agente y recuperar tokens de autenticación confidenciales.

«Esto otorgó movimiento lateral y acceso de lectura/escritura a todo el código base de la víctima», dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust. dicho en una publicación en X. OpenAI lo parchó a partir del 5 de febrero de 2026, después de que se informara el 16 de diciembre de 2025. La vulnerabilidad afecta al sitio web ChatGPT, Codex CLI, Codex SDK y la extensión Codex IDE.

El proveedor de ciberseguridad dijo que la técnica de inyección de comandos de rama también podría extenderse para robar tokens de acceso de instalación de GitHub y ejecutar comandos bash en el contenedor de revisión de código cada vez que se haga referencia a @codex en GitHub.

«Con la rama maliciosa configurada, hicimos referencia a Codex en un comentario sobre una solicitud de extracción (PR)», explicó. «Codex luego inició un contenedor de revisión de código y creó una tarea en nuestro repositorio y sucursal, ejecutando nuestra carga útil y reenviando la respuesta a nuestro servidor externo».

La investigación también destaca un riesgo creciente de que el acceso privilegiado otorgado a los agentes de codificación de IA pueda usarse como arma para proporcionar una «ruta de ataque escalable» a los sistemas empresariales sin activar los controles de seguridad tradicionales.

«A medida que los agentes de IA se integran más profundamente en los flujos de trabajo de los desarrolladores, la seguridad de los contenedores en los que se ejecutan (y la entrada que consumen) debe tratarse con el mismo rigor que cualquier otro límite de seguridad de la aplicación», dijo BeyondTrust. «La superficie de ataque se está expandiendo y la seguridad de estos entornos debe seguir el ritmo».

El software espía de iOS filtrado tiene a algunos profesionales de la ciberseguridad generando alarmas urgentes sobre posibles compromisos masivos del iPhone, un desarrollo que se combina siniestramente con el reciente descubrimiento de dos sofisticados kits de explotación de iOS.

Al mismo tiempo, otros expertos dicen que las funciones defensivas de Apple para los iPhone siguen siendo de élite. Pero varios factores han creado circunstancias sin precedentes: la accesibilidad pública de una versión de DarkSword, poco después del descubrimiento de la versión original de DarkSword y el descubrimiento anterior de un kit similar conocido como Coruña, y un mercado creciente para exploits para iPhone impulsado por su alto valor como objetivos.

Allan Liska, jefe de seguridad de la información de Recorded Future, dijo que estaba preocupado por lo que la versión filtrada de DarkSword podría hacer para «democratizar» las vulnerabilidades del iPhone.

«En este momento, las explotaciones del iPhone se encuentran entre las más costosas de investigar e implementar, por lo que han sido, en gran medida, dominio de los estados-nación», dijo. «Si alguien puede explotar un iPhone, de repente algo que ha logrado ser relativamente seguro ahora tendrá una superficie de ataque mucho mayor».

Google, iVerify y Lookout publicaron una investigación la semana pasada sobre el descubrimiento de DarkSword, centrada en Ucrania. Google también dijo que vio objetivos en Arabia Saudita, Turquía y Malasia. Y eso fue antes de que apareciera una versión en GitHub, un desarrollo TechCrunch reportado por primera vez y Google e iVerify lo han analizado. (La semana anterior, iVerify y Google descubrieron Coruña. Google se negó a hacer más comentarios para esta historia).

«Es extremadamente alarmante que esto se haya filtrado en GitHub», dijo Rocky Cole, cofundador de iVerify. «Supongo que se está utilizando en todo el mundo, incluido aquí en los Estados Unidos».

Cientos de millones de iPhones con iOS 18 podrían ser vulnerables a DarkSword.

«Creo que los principales problemas aquí son bastante claros: las personas que tienen dispositivos vulnerables deberían actualizarlos lo antes posible», dijo Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation. «Es muy probable que estas vulnerabilidades se estén utilizando ahora mismo para explotar dispositivos vulnerables a escala, lo cual es inusual para los productos Apple».

El problema de la propagación

Coruña era lo suficientemente preocupante para Apple que tomó la rara medida de respaldar las actualizaciones de seguridad a versiones aún más antiguas de iOS, dijo Cole. El temor, dijo, era que pudiera ser gusano, capaz de propagarse desde un dispositivo a través de mensajes de texto a todos los que están en la lista de contactos de un teléfono.

Pero Cole dijo que Apple no ha lanzado actualizaciones similares centradas en la seguridad para iOS 18, por razones que desconoce.

Apple ha enfatizado los parches que ha publicado, instó a los usuarios a actualizar sus teléfonos y promocionó el modo de bloqueo como defensa contra el software espía.

«Los dispositivos Apple están diseñados con múltiples capas de seguridad para proteger contra una amplia gama de amenazas potenciales, y todos los días los equipos de seguridad de Apple en todo el mundo trabajan incansablemente para proteger los dispositivos y los datos de los usuarios», dijo la portavoz de Apple, Sarah O'Rourke. «Mantener su software actualizado es lo más importante que puede hacer para mantener la seguridad de sus productos Apple, y los dispositivos con software actualizado no estaban en riesgo de sufrir estos ataques reportados».

El uso generalizado de los iPhone los convierte en objetivos de alto valor, lo que alimenta un próspero mercado de exploits. Coruña y DarkSword son indicadores de esta creciente demanda.

«Es hora de que las organizaciones comiencen a pensar en la seguridad móvil de la misma manera que piensan en la seguridad de las computadoras de escritorio, es decir, que todos saben cómo proteger su computadora portátil», dijo Cole. Y en el caso de la caza de exploits para iPhone en particular, «se está empezando a ver que la gente lo hace a nivel masivo». Además, el mercado de reventa es tal que los exploits que antes eran exclusivos ya no lo son, y la IA hace que sea aún más fácil personalizarlos en el código, afirmó.

DarkSword ha llamado la atención federal: la Agencia de Seguridad de Infraestructura y Ciberseguridad agregó esta semana vulnerabilidades que DarkSword explota a la lista que las agencias federales debe parchear.

La cantidad de personas que todavía usan iOS 18 es grande, hasta el 25% de todos los iPhone. Cole dijo que varios factores están contribuyendo a esto, como que los usuarios desconfían de la inteligencia artificial integrada de iOS 26 o de la interfaz Liquid Glass.

Galperin dijo: «Hay muchas razones por las que las personas no mantienen sus dispositivos actualizados, por lo que cuando les digo a las personas 'simplemente parcheen sus cosas', creo que es importante darse cuenta de que hay circunstancias en las que es más fácil decirlo que hacerlo».

Defensas probadas a pesar de los crecientes riesgos

A pesar de las preocupaciones, Cole le dio crédito al iPhone por sus altos estándares de seguridad, en particular por su tienda de aplicaciones.

Para Natalia Krapiva, asesora jurídica y tecnológica senior de Access Now, una conclusión clave es la preocupante proliferación de software espía comercial y capacidades de intrusión cibernética.

“Esto es exactamente sobre lo que los activistas de derechos humanos y los investigadores de seguridad digital han estado advirtiendo a los gobiernos y las empresas: en ausencia de una regulación efectiva para la industria, estos exploits saldrán a la luz y terminarán en manos de adversarios como Rusia, China, Irán o, como en el caso de DarkSword, se filtrarán en línea para que cualquier delincuente los utilice”, dijo.

Por otro lado, el modo de bloqueo y la aplicación de la integridad de la memoria de Apple son medidas defensivas de primer nivel, dijo Krapiva. «Aún no hemos visto ningún iPhone con modo de bloqueo infectado infectado con software espía», afirmó.

«Creo que seguiremos viendo más intentos de explotar los dispositivos Apple y Android a medida que mejoren la seguridad de su software y hardware», afirmó. «Es el viejo juego del gato y el ratón».

Adam Boynton, gerente senior de estrategia empresarial de Jamf, dijo que lo sucedido con Coruña y DarkSword es evidencia del éxito de Apple.

«Lo que es alentador aquí es que el modelo de seguridad de Apple funciona», afirmó. «Coruña omite los dispositivos que ejecutan las últimas versiones de iOS y evita por completo aquellos con el modo de bloqueo habilitado. Esa es una fuerte validación de las defensas que Apple ha construido.

«DarkSword refuerza el mismo principio», continuó. «Cuando Coruña apuntó a versiones anteriores de iOS, DarkSword demuestra que incluso las versiones relativamente actuales pueden ser atacadas por actores determinados. Apple actuó rápidamente para parchear las vulnerabilidades involucradas, y los dispositivos que ejecutan el último iOS están protegidos».

Investigadores de ciberseguridad han revelado detalles de un nuevo método para extraer datos confidenciales de entornos de ejecución de código de inteligencia artificial (IA) mediante consultas del sistema de nombres de dominio (DNS).

En un informe publicado el lunes, BeyondTrust reveló que el modo sandbox de Amazon Bedrock AgentCore Code Interpreter permite consultas DNS salientes que un atacante puede aprovechar para habilitar shells interactivos y evitar el aislamiento de la red. La emisión, que no tiene un identificador CVE, tiene una puntuación CVSS de 7,5 sobre 10,0.

Intérprete de código de Amazon Bedrock AgentCore es un servicio totalmente administrado que permite a los agentes de IA ejecutar código de forma segura en entornos aislados tipo sandboxde modo que las cargas de trabajo agentes no puedan acceder a sistemas externos. Fue lanzado por Amazon en agosto de 2025.

El hecho de que el servicio permita consultas de DNS a pesar de la configuración de «sin acceso a la red» puede permitir que «los actores de amenazas establezcan canales de comando y control y exfiltración de datos a través de DNS en ciertos escenarios, evitando los controles de aislamiento de red esperados», dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust.

En un escenario de ataque experimental, un actor de amenazas puede abusar de este comportamiento para configurar un canal de comunicación bidireccional mediante consultas y respuestas de DNS, obtener un shell inverso interactivo, filtrar información confidencial a través de consultas de DNS si su función de IAM tiene permisos para acceder a recursos de AWS, como depósitos S3 que almacenan esos datos, y ejecutar comandos.

Es más, se puede abusar del mecanismo de comunicación DNS para entregar cargas útiles adicionales que se envían al intérprete de código, lo que hace que sondee el servidor de comando y control (C2) de DNS en busca de comandos almacenados en registros DNS A, los ejecute y devuelva los resultados a través de consultas de subdominio DNS.

Vale la pena señalar que Code Interpreter requiere una función de IAM para acceder a los recursos de AWS. Sin embargo, un simple descuido puede provocar que se asigne una función con privilegios excesivos al servicio, otorgándole amplios permisos para acceder a datos confidenciales.

«Esta investigación demuestra cómo la resolución DNS puede socavar las garantías de aislamiento de la red de los intérpretes de código aislados», dijo BeyondTrust. «Al utilizar este método, los atacantes podrían haber extraído datos confidenciales de los recursos de AWS accesibles a través de la función IAM del intérprete de código, lo que podría causar tiempo de inactividad, violaciones de datos de información confidencial del cliente o infraestructura eliminada».

Tras la divulgación responsable en septiembre de 2025, Amazon determinó que se trataba de una funcionalidad prevista y no de un defecto, e instó a los clientes a utilizar modo VPC en lugar del modo sandbox para un aislamiento completo de la red. El gigante tecnológico también recomienda el uso de un cortafuegos DNS para filtrar el tráfico DNS saliente.

«Para proteger las cargas de trabajo sensibles, los administradores deben inventariar todas las instancias activas de AgentCore Code Interpreter y migrar inmediatamente aquellas que manejan datos críticos del modo Sandbox al modo VPC», dijo Jason Soroko, miembro senior de Sectigo.

«Operar dentro de una VPC proporciona la infraestructura necesaria para un aislamiento sólido de la red, lo que permite a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS Route53 Resolver para monitorear y bloquear la resolución DNS no autorizada. Finalmente, los equipos de seguridad deben auditar rigurosamente las funciones de IAM adjuntas a estos intérpretes, aplicando estrictamente el principio de privilegio mínimo para restringir el radio de explosión de cualquier posible compromiso».

LangSmith es susceptible a un error de adquisición de cuentas

La divulgación se produce cuando Miggo Security reveló una falla de seguridad de alta gravedad en LangSmith (CVE-2026-25750puntuación CVSS: 8,5) que exponía a los usuarios a un posible robo de tokens y apropiación de cuentas. El problema, que afecta tanto a las implementaciones autohospedadas como a las implementaciones en la nube, se solucionó en la versión 0.12.71 de LangSmith, lanzada en diciembre de 2025.

La deficiencia se ha caracterizado como un caso de inyección de parámetros de URL derivada de una falta de validación en el parámetro baseUrl, lo que permite a un atacante robar el token de portador, la ID de usuario y la ID del espacio de trabajo de un usuario que ha iniciado sesión y transmitidos a un servidor bajo su control mediante técnicas de ingeniería social, como engañar a la víctima para que haga clic en un enlace especialmente diseñado como el siguiente:

• Nube – smith.langchain[.]es/studio/?baseUrl=https://attacker-server.com
• Autohospedado – /studio/?baseUrl=https://attacker-server.com

La explotación exitosa de la vulnerabilidad podría permitir a un atacante obtener acceso no autorizado al historial de seguimiento de la IA, así como exponer consultas SQL internas, registros de clientes de CRM o código fuente propietario mediante la revisión de llamadas a herramientas.

«Un usuario de LangSmith que haya iniciado sesión podría verse comprometido simplemente accediendo a un sitio controlado por un atacante o haciendo clic en un enlace malicioso», afirman los investigadores de Miggo, Liad Eliyahu y Eliana Vuijsje. dicho.

«Esta vulnerabilidad es un recordatorio de que las plataformas de observabilidad de IA son ahora una infraestructura crítica. Como estas herramientas priorizan la flexibilidad de los desarrolladores, a menudo pasan por alto sin darse cuenta las barreras de seguridad. Este riesgo se agrava porque, al igual que el software ‘tradicional’, los agentes de IA tienen acceso profundo a fuentes de datos internas y servicios de terceros».

Defectos de deserialización de pepinillos inseguros en SGLang

También se han señalado vulnerabilidades de seguridad en SGLang, un popular marco de código abierto para servir modelos de lenguaje grandes y modelos de IA multimodal, que, si se explotan con éxito, podrían desencadenar una deserialización insegura de pickle, lo que podría resultar en la ejecución remota de código.

Las vulnerabilidades, descubiertas por el investigador de seguridad de Orca, Igor Stepansky, siguen sin parchearse al momento de escribir este artículo. Una breve descripción de las fallas es la siguiente:

• CVE-2026-3059 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del broker ZeroMQ (también conocido como ZMQ), que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al módulo de generación multimodal de SGLang.
• CVE-2026-3060 (Puntuación CVSS: 9,8): una vulnerabilidad de ejecución remota de código no autenticado a través del módulo de desagregación, que deserializa datos que no son de confianza utilizando pickle.loads() sin autenticación. Afecta al sistema de desagregación paralela del codificador SGLang.
• CVE-2026-3989 (Puntuación CVSS: 7,8): el uso de una función pickle.load() insegura sin validación y deserialización adecuada en «replay_request_dump.py» de SGLang, que puede explotarse proporcionando un archivo pickle malicioso.

«Los dos primeros permiten la ejecución remota de código no autenticado contra cualquier implementación de SGLang que exponga sus características de generación o desagregación multimodal a la red», Stepansky dicho. «El tercero implica una deserialización insegura en una utilidad de reproducción de volcado de memoria».

En un aviso coordinado, el Centro de Coordinación CERT (CERT/CC) dijo que SGLang es vulnerable a CVE-2026-3059 cuando el sistema de generación multimodal está habilitado, y a CVE-2026-3060 cuando el sistema de desagregación paralela del codificador está habilitado.

«Si se cumple cualquiera de las condiciones y un atacante conoce el puerto TCP en el que el corredor ZMQ está escuchando y puede enviar solicitudes al servidor, puede explotar la vulnerabilidad enviando un archivo pickle malicioso al corredor, que luego lo deserializará», CERT/CC dicho.

Se recomienda a los usuarios de SGLang restringir el acceso a las interfaces del servicio y asegurarse de que no estén expuestos a redes que no sean de confianza. También se recomienda implementar controles de acceso y segmentación de red adecuados para evitar la interacción no autorizada con los puntos finales de ZeroMQ.

Si bien no hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza, es crucial monitorear conexiones TCP entrantes inesperadas al puerto del corredor ZeroMQ, procesos secundarios inesperados generados por el proceso SGLang Python, creación de archivos en ubicaciones inusuales por el proceso SGLang y conexiones salientes del proceso SGLang a destinos inesperados.

El Equipo Técnico de Respuesta a Emergencias de la Red Nacional de Computadoras de China (CNCERT) ha emitido una advertencia sobre la seguridad derivada del uso de OpenClaw (antes Clawdbot y Moltbot), un agente autónomo de inteligencia artificial (IA) autónomo, de código abierto y autohospedado.

En una publicación compartida en WeChat, CNCERT señaló que las «configuraciones de seguridad predeterminadas inherentemente débiles» de la plataforma, junto con su acceso privilegiado al sistema para facilitar las capacidades de ejecución autónoma de tareas, podrían ser exploradas por malos actores para tomar el control del punto final.

Esto incluye riesgos que surgen de inyecciones rápidas, donde instrucciones maliciosas incrustadas en una página web pueden hacer que el agente filtre información confidencial si se le engaña para que acceda y consuma el contenido.

El ataque también es referido como inyección rápida indirecta (IDPI) o inyección rápida entre dominios (XPIA), ya que los adversarios, en lugar de interactuar directamente con un modelo de lenguaje grande (LLM), utilizan funciones benignas de IA como armas como el resumen de páginas web o el análisis de contenido para ejecutar instrucciones manipuladas. esto puede rango de evadir los sistemas de revisión de anuncios basados ​​en inteligencia artificial e influir en las decisiones de contratación para envenenar la optimización de motores de búsqueda (SEO) y generar respuestas sesgadas al suprimir las críticas negativas.

OpenAI, en una publicación de blog publicada a principios de esta semana, dijo que los ataques rápidos de estilo inyección están evolucionando más allá de simplemente colocar instrucciones en contenido externo para incluir elementos de ingeniería social.

«Los agentes de IA son cada vez más capaces de navegar por la web, recuperar información y realizar acciones en nombre de un usuario», afirma. dicho. «Esas capacidades son útiles, pero también crean nuevas formas para que los atacantes intenten manipular el sistema».

Los riesgos de inyección rápida en OpenClaw no son hipotéticos. El mes pasado, investigadores de PromptArmor descubrieron que el función de vista previa del enlace en aplicaciones de mensajería como Telegram o Discord se puede convertir en una vía de filtración de datos cuando se comunica con OpenClaw mediante una inyección rápida indirecta.

La idea, a alto nivel, es engañar al agente de IA para que genere una URL controlada por el atacante que, cuando se presenta en la aplicación de mensajería como una vista previa del enlace, automáticamente hace que transmita datos confidenciales a ese dominio sin tener que hacer clic en el enlace.

«Esto significa que en sistemas de agentes con vistas previas de enlaces, la filtración de datos puede ocurrir inmediatamente después de que el agente de IA responda al usuario, sin que el usuario tenga que hacer clic en el enlace malicioso», dijo la compañía de seguridad de IA. dicho. «En este ataque, el agente es manipulado para construir una URL que utiliza el dominio de un atacante, con parámetros de consulta generados dinámicamente adjuntos que contienen datos confidenciales que el modelo conoce sobre el usuario».

Además de las indicaciones deshonestas, CNCERT también ha destacado otras tres preocupaciones:

• La posibilidad de que OpenClaw pueda eliminar inadvertida e irrevocablemente información crítica debido a una mala interpretación de las instrucciones del usuario.
• Los actores de amenazas pueden cargar habilidades maliciosas en repositorios como ClawHub que, cuando se instalan, ejecutan comandos arbitrarios o implementan malware.
• Los atacantes pueden aprovechar las vulnerabilidades de seguridad reveladas recientemente en OpenClaw para comprometer el sistema y filtrar datos confidenciales.

«Para sectores críticos, como las finanzas y la energía, tales violaciones podrían conducir a la fuga de datos comerciales centrales, secretos comerciales y repositorios de códigos, o incluso resultar en la parálisis completa de sistemas comerciales completos, causando pérdidas incalculables», agregó CNCERT.

Para contrarrestar estos riesgos, se recomienda a los usuarios y organizaciones fortalecer los controles de red, evitar la exposición del puerto de administración predeterminado de OpenClaw a Internet, aislar el servicio en un contenedor, evitar almacenar credenciales en texto sin formato, descargar habilidades solo de canales confiables, deshabilitar las actualizaciones automáticas de habilidades y mantener actualizado al agente.

El desarrollo se produce cuando las autoridades chinas han tomado medidas para restringir que las empresas estatales y las agencias gubernamentales ejecuten aplicaciones OpenClaw AI en computadoras de oficina en un intento por contener los riesgos de seguridad, Bloomberg. reportado. Se dice que la prohibición también se extiende a las familias del personal militar.

La popularidad viral de OpenClaw también ha llevado a los actores de amenazas a aprovechar el fenómeno para distribuir repositorios maliciosos de GitHub haciéndose pasar por instaladores de OpenClaw para implementar ladrones de información como Atomic y Vidar Stealer, y un malware proxy basado en Golang conocido como calcetines fantasma usando instrucciones estilo ClickFix.

«La campaña no estaba dirigida a una industria en particular, sino que estaba dirigida en general a usuarios que intentaban instalar OpenClaw con repositorios maliciosos que contenían instrucciones de descarga para entornos Windows y macOS», Huntress dicho. «Lo que hizo que esto fuera exitoso fue que el malware estaba alojado en GitHub, y el repositorio malicioso se convirtió en la sugerencia mejor calificada en los resultados de búsqueda de IA de Bing para OpenClaw Windows».