Agenții AI pot fi păcăliți mai ușor decât crezi. OpenClaw, prins în teste care arată cum pot fi furate date sensibile
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2025/11/openAI-hacker.jpg)
Două echipe de securitate au demonstrat, în cercetări separate, cât de periculoasă poate deveni combinația dintre inteligență artificială, acces la emailuri, fișiere și comenzi automate. Ținta testelor a fost OpenClaw, un agent AI self-hosted folosit pentru automatizarea unor sarcini, de la citirea mesajelor până la interacțiunea cu aplicații și servicii externe.
Problema nu este doar că un astfel de agent poate răspunde greșit. Riscul real apare atunci când AI-ul primește acces la date private și permisiunea de a acționa în numele utilizatorului. În acel moment, o instrucțiune ascunsă într-un contact sau un email scris convingător poate transforma agentul într-un executant al atacatorului.
Comenzi ascunse în contacte și mesaje aparent normale
Cercetătorii de la Imperva au analizat modul în care OpenClaw transmite către modelul AI anumite date primite prin aplicații de mesagerie. Vulnerabilitatea descoperită ținea de felul în care obiecte precum un contact partajat, o carte de vizită digitală sau o locație erau transformate în text și introduse în promptul agentului.
În loc ca aceste informații să fie tratate clar ca date nesigure venite din exterior, ele ajungeau în conversația internă a agentului fără o delimitare suficient de fermă. Practic, modelul putea interpreta anumite fragmente ca instrucțiuni, nu ca simple date. În testele cercetătorilor, acest lucru a permis declanșarea unor acțiuni periculoase, inclusiv executarea unui cod controlat de atacator.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/0843914f965c77b5a5835d72e041de6e-t.jpg)
Partea îngrijorătoare este că victima nu vedea neapărat comanda ascunsă. De exemplu, numele unui contact putea fi afișat trunchiat pe ecran, în timp ce agentul primea mai mult text în fundal. Pentru utilizator, totul părea un contact obișnuit. Pentru AI, însă, acel contact putea conține o instrucțiune mascată.
OpenClaw a remediat această problemă în versiunea 2026.4.23, prin mutarea acestor câmpuri într-o zonă tratată ca metadate nesigure, nu ca instrucțiuni normale. Totuși, cercetătorii atrag atenția că problema nu este un caz izolat. Orice agent AI care amestecă date venite din exterior cu instrucțiunile proprii poate ajunge să nu mai facă diferența între ce trebuie să citească și ce trebuie să execute.
Emailul care convinge AI-ul să trimită secrete
A doua cercetare, realizată de Varonis Threat Labs, a mers pe o direcție diferită: nu instrucțiuni ascunse, ci manipulare socială clasică. Echipa a construit un agent numit Pinchy pe platforma OpenClaw, l-a conectat la o căsuță Gmail, la instrumente de browser și la servicii Google Workspace, apoi i-a dat acces la date interne false, dar realiste.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/Google-stiri-surse-schimbare-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/Inteligenta-artificiala-ajuta-hackerii-316x158.jpg)
Cercetătorii au vrut să vadă dacă un agent AI poate cădea în capcanele de phishing în care cad și oamenii. Rezultatul a fost neliniștitor. Într-un test, un email care părea să vină de la un coleg a cerut acces la un mediu de testare, invocând o problemă urgentă. Agentul a căutat în datele disponibile și a trimis mai departe chei AWS simulate, parole pentru baze de date și date de acces SSH.
Într-un alt scenariu, cererea a fost mult mai banală: un presupus coleg a solicitat un export de clienți pentru o prezentare. Agentul a livrat un set de date fals, dar construit realist, cu informații despre sute de clienți. Asta arată că nu doar urgența poate păcăli un AI, ci și normalitatea unei cereri care pare parte din rutina de lucru.
Interesant este că agentul s-a descurcat mai bine în fața unor amenințări tehnice evidente. A identificat pagini de phishing, a fost mai prudent cu aplicații OAuth suspecte și a blocat unele încercări mai vizibile. Slăbiciunea majoră a apărut acolo unde era nevoie de judecată socială: cine cere informația, de ce o cere, dacă adresa este legitimă și dacă acțiunea are sens în context.
Lecția pentru companii: agentul AI nu trebuie tratat ca un angajat de încredere
Ambele cercetări duc spre aceeași concluzie: un agent AI nu trebuie lăsat să citească date private, să primească inputuri nesigure și să trimită informații în exterior fără controale clare. Această combinație este periculoasă tocmai pentru că agentul are acces, pare util și vrea să îndeplinească sarcina primită.
Modelul de protecție trebuie să fie diferit de simpla formulare a unei instrucțiuni de tip „nu trimite date sensibile”. Testele arată că astfel de reguli pot fi ignorate atunci când agentul este pus sub presiune, când cererea pare urgentă sau când mesajul sună suficient de legitim. Așadar, apărarea reală trebuie construită în arhitectură, nu doar în prompt.
Companiile care folosesc agenți AI ar trebui să limiteze drastic permisiunile acestora. Un agent care citește emailuri externe nu ar trebui să poată accesa automat toate datele din CRM, parole, chei de infrastructură sau documente financiare. Trimiterile către adrese necunoscute ar trebui aprobate manual, iar acțiunile sensibile, precum trimiterea de credențiale sau exportul de baze de date, ar trebui blocate implicit.
La fel de importantă este identificarea stabilă a utilizatorilor. Un agent nu ar trebui să se bazeze pe nume afișate, semnături sau mesaje care par familiare, ci pe identități verificate și politici stricte. În securitate, aparența de normalitate este exact terenul pe care funcționează phishingul.
OpenClaw nu este singurul produs expus acestui tip de risc. Pe măsură ce agenții AI devin tot mai capabili și primesc acces la aplicații reale, aceștia devin și ținte mai valoroase. Un chatbot care doar răspunde la întrebări poate greși. Un agent care citește emailuri, execută comenzi și trimite fișiere poate produce o breșă.
Cea mai bună comparație este cea cu un angajat junior care are acces la sisteme importante, dar nu are instinctul de a observa când ceva nu se leagă. Poate fi util, rapid și eficient, dar nu trebuie lăsat nesupravegheat în fața datelor critice. În era agenților AI, întrebarea nu mai este doar cât de inteligenți sunt, ci cât de strict sunt controlați atunci când greșesc.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/8f476f1ec2b9b251d078c7a200602459-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/b3602452407c38dfe0f34fb2b099b717-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/7f2d3f429078a4f931264cf057e5e079-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/a79b0aa72cb2fc068e1220a42daf3e22-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/6f7b58338be6bc82404b72abb44cf95f-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/042131c7b0155d2a10acada0ceb67780-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/795f3112518a57d1b86985dd0a9a1390-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Corn-n-Oil-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/gigagabrica-ai-cernavoda-romania.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0312458368.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/reguli-inteligenta-artificiala-europa.jpg)