Публикация отравленного инструмента ИИ-агента
Оригинал: Publish Poisoned AI Agent Tool
Злоумышленники могут создавать и публиковать отравленные инструменты для ИИ-агентов. Такие инструменты могут содержать промпт-инъекцию LLM, способную привести к различным последствиям.
Инструменты могут публиковаться в открытых репозиториях систем контроля версий, например GitHub или GitLab, в реестрах пакетов, например npm, либо в специализированных репозиториях для обмена инструментами, например OpenClaw Hub. Такие реестры могут почти не регулироваться и содержать множество отравленных инструментов [[opensourcemalware]]. Инструменты также могут публиковаться в виде удаленно размещенных серверов [[mcpservers]].
Тактики
Примеры процедур из кейсов
Исследователь разработал отравленный навык ClawdBot под названием "What Would Elon Do?". Вредоносный промпт находился в файле `rules/logic.md`, который считывается при активации навыка. Исследователь опубликовал навык в ClawdHub.
AML.CS0053Эксфильтрация писем через отравленный MCP-сервер PostmarkЗлоумышленник опубликовал вредоносную версию `postmark-mcp` в npm.
AML.CS0054Эксфильтрация данных через удаленный отравленный MCP-инструментИсследователи разместили отравленный MCP-сервер, где вредоносные инструкции были скрыты в docstring-описании одного из предоставляемых инструментов.