Especialista em camarão também teve problemas! OpenClaw devido a um erro de sintaxe, vazou os segredos mais confidenciais do seu próprio servidor

Recentemente, a equipa de investigação da sequrity.ai, especializada em segurança de agentes de IA, ao testar o robot OpenClaw, desencadeou inadvertidamente uma catástrofe de “auto-hacking” ao inserir um comando cotidiano comum…
(Resumindo: não siga cegamente o OpenClaw, o AI do camarão é forte, mas pode não ser adequado para si)
(Complemento: uma simples menção ao Bitcoin levou ao bloqueio: a ruptura entre o camarão OpenClaw e as criptomoedas)

Índice do artigo

Alternar

• Especialistas em segurança também foram afetados: um incidente inesperado de “auto-hacking”
• Aspas fatais: como a IA inadvertidamente revela informações confidenciais
• Invasão por parte de hackers e ações subsequentes
• Desafios de segurança de IA a longo prazo: a atribuição de responsabilidades torna-se difícil

Com a popularização da inteligência artificial (IA), os agentes de IA demonstram capacidades poderosas ao ajudar os desenvolvedores em tarefas diárias. No entanto, esta tecnologia também trouxe riscos de segurança sem precedentes. Recentemente, a equipa de segurança de IA da reconhecida sequrity.ai, ao testar o popular robot de IA OpenClaw, enfrentou inesperadamente um incidente de “auto-hacking”. Devido a um pequeno erro de sintaxe na geração de comandos pelo modelo de IA, todas as chaves confidenciais no ambiente de teste foram publicadas no GitHub, levando a um ataque externo que tomou controlo total do servidor.

Especialistas em segurança também foram afetados: um incidente inesperado de “auto-hacking”

A vítima não foi um utilizador comum sem conhecimentos técnicos, mas sim investigadores e desenvolvedores profissionais da empresa “sequrity.ai”, como Aaron Zhao. Como especialistas do setor, confiavam na sua proteção e tinham acabado de publicar um artigo sobre como atacar o robot OpenClaw.

Na altura, a equipa realizava testes num ambiente sandbox sem qualquer configuração maliciosa, apenas pedindo ao OpenClaw para executar uma tarefa diária aparentemente inofensiva: “Pesquisar as melhores práticas para programação assíncrona em Python e criar uma issue no GitHub para resumir as descobertas”. Surpreendentemente, este comando banal foi a faísca que desencadeou a queda do sistema.

Aspas fatais: como a IA inadvertidamente revela informações confidenciais

A origem do problema reside no facto de o OpenClaw, ao usar a sua ferramenta interna “exec” para criar uma issue no GitHub, gerar um comando shell com um erro.

No sistema Bash, se uma string estiver entre aspas duplas (“…”), o sistema interpreta o conteúdo (como o texto entre crases) como “substituição de comando”, ou seja, executa esse comando e substitui o resultado na string; se usar aspas simples (‘…’), trata o conteúdo como texto literal.

Na geração do comando, o OpenClaw incluiu uma frase semelhante a “… guardá-los numa variável \set\ …” usando aspas duplas. Em Bash, “set” é um comando interno que, sem argumentos, imprime todas as variáveis de ambiente e funções atuais.

Assim, o sistema interpretou “set” como um comando a executar, extraindo mais de cem variáveis de ambiente confidenciais, incluindo tokens de autenticação, e publicou todas essas informações sensíveis na issue pública do GitHub, acessível a todos.

Invasão por parte de hackers e ações subsequentes

A divulgação rápida dessas variáveis confidenciais teve consequências graves. Entre elas, estavam chaves do Telegram da equipa de desenvolvimento e outros acessos críticos. Pouco tempo depois, a equipa detectou, através de monitorização, um atacante de IP da Índia que usou essas credenciais vazadas para aceder via SSH ao servidor sandbox, assumindo controlo total.

Felizmente, os mecanismos de segurança do OpenAI e do Google detectaram as chaves expostas no GitHub e alertaram a equipa. Isto levou a uma investigação imediata, identificação da causa raiz, bloqueio do atacante, eliminação de dados no servidor e revogação de todas as chaves comprometidas.

Desafios de segurança de IA a longo prazo: a atribuição de responsabilidades torna-se difícil

Este incidente revelou a complexidade da segurança de IA. A equipa lamentou que, ao executar um comando aparentemente benigno, um erro de interpretação do modelo de IA no funcionamento do Bash levou ao comprometimento do sistema.

Perguntam-se: é responsabilidade do utilizador, uma falha do modelo de IA ou uma vulnerabilidade no design do OpenClaw? A equipa admite que “não sabemos ao certo”. Enfatizam que a segurança de IA tornou-se uma questão de “cauda longa”, com muitos modos de falha difíceis de prever e de entender. À medida que os agentes de IA assumem mais controlo em sistemas críticos, garantir que não causem desastres de segurança por um erro minúsculo será uma questão crucial para o futuro da tecnologia.