Inżynier oprogramowania twierdzi, że OpenClaw rozesłał setki wiadomości

Chris Boyd został uwięziony w swoim domu w Północnej Karolinie po burzy śnieżnej, kiedy zdecydował się wypróbować narzędzie AI o nazwie OpenClaw. Pomyślał, że pomoże mu to zorganizować poranki. Ustawił je tak, aby codziennie o 5:30 rano wysyłało podsumowanie wiadomości do jego skrzynki odbiorczej. Ta część działała. Potem pozwolił mu na dostęp do iMessage.

Zaraz potem wszystko się posypało. OpenClaw zaczął wysyłać wiadomości jak szaleniec. Wysłał ponad 500 wiadomości do niego, jego żony, a nawet losowych osób z ich listy kontaktów. Boyd się nie śmiał.

Wyłączył go, zmienił kod i powiedział: "To nie było błędne. To było niebezpieczne."

Inżynier oprogramowania twierdzi, że OpenClaw spamował setkami wiadomości

Boyd nazwał oprogramowanie "niedopracowanym" i powiedział, że wygląda na coś skleconego bez większego przemyślenia. Sam załatał kod, aby powstrzymać dalsze szkody. Nie był jedynym, który podnosił czerwone flagi w związku z tym narzędziem.

Agent AI, który wcześniej nazywał się Clawdbot, a później Moltbot, zaczął zdobywać fanów w listopadzie. Mógł wykonywać proste zadania, takie jak czyszczenie skrzynek odbiorczych, rezerwowanie kolacji i odprawianie się na loty. Nie wymagał dużego wkładu człowieka. Po prostu działał. To właśnie czyniło go interesującym. To również czyniło go niebezpiecznym.

Kasimir Schulz pracuje w firmie HiddenLayer, która skupia się na bezpieczeństwie AI. Kasimir powiedział, że OpenClaw jest doskonałym przykładem tego, co nazywa "śmiertelną triадą".

Ma dostęp do prywatnych danych, może komunikować się ze światem zewnętrznym i może odczytywać nieznaną treść. To pełny przepis na katastrofę, a OpenClaw ma to wszystko.

Yue Xiao, profesor informatyki z William & Mary, powiedział, że można ukraść czyjeś dane przez OpenClaw, oszukując go za pomocą tzw. prompt injection. To wtedy, gdy haker ukrywa polecenia w tym, co wygląda na normalną wiadomość. Yue powiedział, że tego rodzaju technologia otwiera drzwi do nowych typów ataków, na które większość ludzi nie jest gotowa.

Twórca przyznaje, że OpenClaw nie jest gotowy do powszechnego użytku

Peter Steinberger, który stworzył OpenClaw, powiedział, że projekt nie jest ukończony. Powiedział Bloombergowi w e-mailu: "Po prostu jeszcze nie jest gotowy, ale zmierzamy w tym kierunku."

Peter powiedział, że ponieważ jest to open source, każdy może zobaczyć kod i nad nim pracować. Powiedział, że postępy są robione, ale nie jest jeszcze gotowy dla codziennych użytkowników.

Peter nie uważał, że wydanie nastąpiło zbyt wcześnie. Powiedział, że wszystko buduje jawnie i nie wierzy w wstrzymywanie się do momentu, aż będzie idealne. Powiedział również, że wiele problemów wynika z tego, że użytkownicy nie czytają instrukcji konfiguracji.

Peter jasno zaznaczył, że nie ma czegoś takiego jak 100-procentowe bezpieczeństwo podczas korzystania z dużych modeli językowych. Powiedział, że OpenClaw jest przeznaczony dla osób, które wiedzą, co robią i rozumieją ryzyko.

Powiedział również, że prompt injection to nie tylko problem z jego narzędziem. Nazwał to problemem, który istnieje wszędzie w świecie AI. Peter powiedział, że zatrudnił eksperta ds. bezpieczeństwa, aby pomóc naprawić sprawy i uczynić OpenClaw bezpieczniejszym.

Eksperci twierdzą, że agenci AI rosną szybciej niż bezpieczeństwo może nadążyć

Podczas gdy Peter broni sposobu, w jaki zbudował OpenClaw, inni eksperci twierdzą, że cały trend agentów AI wymyka się spod kontroli. Justin Cappos, ekspert ds. cyberbezpieczeństwa i profesor na NYU, powiedział, że trudno jest kontrolować te narzędzia, gdy już działają.

Justin powiedział: "Nie rozumiemy, dlaczego robią to, co robią". Porównał danie agentowi AI dostępu do systemu do wręczenia małemu dziecku noża rzeźnickiego.

Świat technologii spieszy się z uruchomieniem nowych narzędzi. Claude Code firmy Anthropic osiągnął tempo przychodów w wysokości 1 miliarda dolarów w zaledwie sześć miesięcy.

Tymczasem ludzie próbujący zabezpieczyć te narzędzia wciąż ustalają podstawy. Justin powiedział, że firmy wypuszczają aktualizacje bez przerwy, a zespoły bezpieczeństwa nie nadążają.

Michael Freeman z Armis, firmy zajmującej się cyberbezpieczeństwem, powiedział, że OpenClaw został sklecony bez żadnego prawdziwego planu bezpieczeństwa. Powiedział, że niektórzy klienci Armis zostali już dotknięci naruszeniami OpenClaw, ale nie podzielił się szczegółami. Michael powiedział, że firmy będą musiały zrezygnować z części kontroli, jeśli chcą nadal korzystać z narzędzi AI takich jak OpenClaw.

Na razie pytanie brzmi, czy ludzie będą nadal używać OpenClaw po tej katastrofie. Narzędzie ma fanów, ale nawet ci ludzie zdają sobie sprawę, że wolność bez bezpieczeństwa to problem. I jeśli zmiany nie zostaną wprowadzone szybko, OpenClaw może stać się najnowszym przykładem technologii, która zaszła za daleko.

Chcesz, aby Twój projekt był widoczny dla czołowych umysłów w świecie krypto? Pokaż go w naszym następnym raporcie branżowym, gdzie dane spotykają się z wpływem.