ओपनक्लॉ, एआई एजेंट जिसकी लोकप्रियता पिछले सप्ताह में तेजी से बढ़ी है, शोधकर्ताओं द्वारा इसके बाज़ार में सैकड़ों उपयोगकर्ता-प्रस्तुत “कौशल” ऐड-ऑन में मैलवेयर का पता चलने के बाद नई सुरक्षा चिंताएँ बढ़ रही हैं। में सोमवार को एक पोस्ट1पासवर्ड उत्पाद वीपी जेसन मेलर का कहना है कि ओपनक्लाव का कौशल केंद्र “एक हमले की सतह” बन गया है, जिसमें सबसे अधिक डाउनलोड किया जाने वाला ऐड-ऑन “मैलवेयर डिलीवरी वाहन” के रूप में काम कर रहा है।
ओपनक्लॉ – जिसे पहले क्लॉडबॉट कहा जाता था, फिर मोल्टबॉट कहा जाता है – को एक एआई एजेंट के रूप में पेश किया जाता है जो “वास्तव में चीजें करता है”, जैसे कि आपके कैलेंडर को प्रबंधित करना, उड़ानों के लिए चेक इन करना, आपके इनबॉक्स को साफ करना और बहुत कुछ। यह स्थानीय रूप से उपकरणों पर चलता है, और उपयोगकर्ता व्हाट्सएप, टेलीग्राम, आईमैसेज और अन्य जैसे मैसेजिंग ऐप के माध्यम से एआई सहायक के साथ बातचीत कर सकते हैं। लेकिन कुछ उपयोगकर्ता OpenClaw को अपने संपूर्ण डिवाइस तक पहुंचने की क्षमता दे रहे हैं, जिससे वह फ़ाइलों को पढ़ने और लिखने, स्क्रिप्ट निष्पादित करने और शेल कमांड चलाने की अनुमति दे रहा है।
जबकि इस प्रकार की पहुंच अपने आप में जोखिम पैदा करती है, कौशल के रूप में प्रच्छन्न मैलवेयर जो ओपनक्लाव की क्षमताओं को बढ़ाने वाले हैं, केवल चिंताओं में योगदान करते हैं। OpenSourceMalware, एक प्लेटफ़ॉर्म जो ओपन-सोर्स इकोसिस्टम में मैलवेयर की उपस्थिति को ट्रैक करता है, पाया कि 28 दुर्भावनापूर्ण कौशल 31 जनवरी से 2 फरवरी के बीच अपलोड किए गए 386 दुर्भावनापूर्ण ऐड-ऑन के अलावा, क्लॉहब स्किल मार्केटप्लेस पर 27 और 29 जनवरी के बीच प्रकाशित किए गए थे।
OpenSourceMalware का कहना है कि कौशल “क्रिप्टोकरेंसी ट्रेडिंग ऑटोमेशन टूल के रूप में सामने आते हैं और सूचना-चोरी करने वाले मैलवेयर वितरित करते हैं” और उपयोगकर्ताओं को दुर्भावनापूर्ण कोड निष्पादित करने में हेरफेर करते हैं जो “एक्सचेंज एपीआई कुंजी, वॉलेट निजी कुंजी, एसएसएच क्रेडेंशियल और ब्राउज़र पासवर्ड जैसी क्रिप्टो संपत्ति चुराते हैं।”
मेलर का कहना है कि ओपनक्लॉ के कौशल को अक्सर मार्कडाउन फ़ाइलों के रूप में अपलोड किया जाता है, जिसमें उपयोगकर्ताओं और एआई एजेंट दोनों के लिए दुर्भावनापूर्ण निर्देश हो सकते हैं। क्लॉहब के सबसे लोकप्रिय ऐड-ऑन में से एक, एक “ट्विटर” कौशल की जांच करते समय उन्होंने यही पाया, जिसमें उपयोगकर्ताओं को “एजेंट को कमांड चलाने के लिए डिज़ाइन किया गया” लिंक पर नेविगेट करने के निर्देश दिए गए थे, जो इन्फोस्टीलिंग मैलवेयर डाउनलोड करता है।
ओपनक्लॉ के निर्माता, पीटर स्टीनबर्गर, इनमें से कुछ जोखिमों को दूर करने के लिए काम कर रहा हैक्योंकि ClawHub को अब किसी कौशल को प्रकाशित करने के लिए उपयोगकर्ताओं के पास एक GitHub खाता होना चाहिए जो कम से कम एक सप्ताह पुराना हो। कौशल की रिपोर्ट करने का एक नया तरीका भी है, हालांकि यह प्लेटफ़ॉर्म पर मैलवेयर के घुसने की संभावना को दूर नहीं करता है।
