警惕!AI工具背后的恶意攻击,macOS用户需小心
最近,1Password发布了一则警告,提到有黑客利用新兴的AI工具OpenClaw(之前叫Clawdbot和Moltbot),猖狂地向macOS用户传播恶意软件。
说到OpenClaw,它是最近非常火的一个AI工具,最吸引人的地方在于它的“主动自动化”能力。换句话说,它可以在没有人指挥的情况下,自动清理邮箱、预定服务、管理日历,甚至处理其他琐事。而且,它还能记住所有的对话历史,精准地从之前的聊天中提取用户的偏好。
然而,攻击者却利用了OpenClaw的“技能”文件,这些通常是用Markdown格式编写的文档,原本是帮助AI学习新任务的,结果被黑客伪装成了看似合法的集成教程。
在设置过程中,这些文件会诱导用户复制并运行一段Shell命令。这个命令不仅在后台解码隐藏的恶意代码,还会下载后续的脚本,并修改系统设置,从而绕过macOS的安全检查,去掉“文件隔离”的标记。
这次攻击植入的恶意软件被认定为“信息窃取类”。不同于那些会破坏系统的病毒,这种恶意软件主要是悄悄窃取高价值的数据,比如浏览器的Cookie、活跃的登录会话、自动填充的密码、SSH密钥,以及开发者的API令牌。对于开发者来说,这意味着黑客可能因此渗透到他们的源代码库、云基础设施,甚至企业的CI/CD系统,造成严重的数据泄露。
虽然一些开发者希望通过“模型上下文协议(MCP)”来限制AI的权限,但事实证明,这种协议在面对这样的攻击时几乎无效。
这次攻击的本质是通过社会工程学手段利用文档,而不是直接调用工具的接口,因此轻易就能绕过协议的保护。而且,这次攻击显示出黑客对macOS的防御机制非常熟悉,光靠苹果的环境隔离已经无法有效抵挡这样的威胁了。
来源:百家号
原文标题:爆火AI智能体OpenClaw被发现严重漏洞,可传播/植入macOS病毒
声明:
文章来自网络收集后经过ai改写发布,如不小心侵犯了您的权益,请联系本站删除,给您带来困扰,深表歉意!
OpenClaw的漏洞让人警惕,是否应该考虑更换工具?
有没有人试过OpenClaw?用起来怎么样?
开发者们,务必要重视这个漏洞,防止重要数据被窃取。
黑客利用社会工程学手段进行攻击,真是让人感到无奈,如何才能提高自身的安全意识?
开发者们一定要更加警惕,不然损失可就大了。有什么好的防范建议吗?
听说这个漏洞后,不禁感叹,科技越发达,安全隐患也越大,真是个双刃剑。
对这种新兴AI工具的漏洞问题,开发者应该定期进行安全审计,保障系统安全。
OpenClaw的自动化能力真是吸引人,没想到背后竟有这么大的隐患。
OpenClaw的能力让人眼前一亮,安全问题倒是个大隐患。
这个漏洞的利用方式太巧妙了,真是让人防不胜防,有没有什么补救措施?
看到这个消息我有点怕,难道以后用AI工具都得提心吊胆了吗?
使用OpenClaw前一定要仔细检查权限设置,黑客可能伪装成合法文件。
黑客竟然能轻易绕过macOS的防护,开发者们该如何应对这种新威胁?
建议开发者在使用OpenClaw时,定期检查和更新安全策略,防止潜在的攻击。
这篇文章提醒得很好,macOS用户要引起重视。
利用OpenClaw的文档被黑客利用的方式很狡猾,建议用户在安装前多加谨慎,确认文件来源。
这次的漏洞让人警醒,用户的安全意识显得尤为重要,大家该多关注了。