Deux équipes de sécurité ont récemment démontré des vulnérabilités critiques dans OpenClaw, un agent d’intelligence artificielle auto-hébergé très répandu, permettant l’exécution de code arbitraire et la fuite de données sensibles.
Ces recherches distinctes, publiées cette semaine par Imperva et Varonis, révèlent que des entrées d’apparence ordinaire peuvent tromper OpenClaw. L’agent peut ainsi être contraint d’exécuter du code contrôlé par un attaquant ou de divulguer des informations confidentielles.
L’équipe d’Imperva a notamment réussi à dissimuler des instructions malveillantes au sein de contacts partagés (vCards) et d’épingles de localisation. L’agent OpenClaw exécutait ces commandes sans que la victime ne s’en aperçoive, soulignant la subtilité de ces nouvelles menaces.
Ces découvertes mettent en lumière les défis de sécurité propres aux agents d’IA autonomes. La capacité à exploiter des interactions courantes pour compromettre de tels systèmes représente une préoccupation majeure pour la protection des données et l’intégrité des opérations basées sur l’IA.
La vigilance quant à la nature des entrées traitées par ces agents devient essentielle pour garantir leur fiabilité et leur sécurité.
Source : The Hacker News