AI Security

Framework-ul tau de agenti AI este probabil compromis chiar acum

Petru Constantin
--7 min lectura
#ai-security#devidevs

Framework-ul tau de agenti AI este probabil compromis chiar acum

88% din organizatii au avut deja un incident de securitate cu agenti AI. Esti in celelalte 12%?

In ianuarie 2026, OpenClaw a atins 135.000 de stele pe GitHub. Dezvoltatorii il adorau. CTO-ii il aprobau. Echipele de securitate nu l-au vazut venind.

In trei saptamani, cercetatorii au gasit 42.665 de instante OpenClaw expuse pe internetul public. Din acestea, 5.194 erau exploatabile activ. O vulnerabilitate critica de RCE (CVE-2026-25253, CVSS 8.8) permitea atacatorilor sa execute cod pe orice instanta cu un singur click. Si 20% din plugin-urile din marketplace-ul OpenClaw erau pur si simplu malware.

Nu este o evaluare ipotetice a riscului. Este ceea ce s-a intamplat in primele sase saptamani ale lui 2026.

Dezastrul OpenClaw, pas cu pas

Configuratia implicita a OpenClaw face bind pe 0.0.0.0:18789, ceea ce inseamna ca asculta pe toate interfetele de retea, inclusiv internetul public. Fara autentificare din start. Daca l-ai implementat pe un VM cu IP public, felicitari - tocmai ai dat internetului acces root la un agent AI care poate citi fisierele tale si executa comenzi.

Campania ClawHavoc a inrautatit lucrurile. Antiy CERT a gasit 1.184 de "Skills" malitioase in ClawHub, marketplace-ul de plugin-uri al OpenClaw. Asta inseamna aproximativ 20% din intregul registru. Payload-urile includeau Atomic macOS Stealer (AMOS), recoltare de credentiale si reverse shells. Primul skill malitios a aparut pe 27 ianuarie. Pana pe 1 februarie, campania avea un nume.

Iata cronologia:

  • 25-31 ian: Instantele OpenClaw expuse pe internet sar de la ~1.000 la peste 21.000 (date Censys)
  • 27 ian: Primul skill malitios incarcat in ClawHub
  • 30 ian: CVE-2026-25253 rezolvat in versiunea 2026.1.29
  • 1 feb: Koi Security numeste campania "ClawHavoc", raporteaza 341 de skill-uri malitioase (12% din registru)
  • Martie 2026: Scanari actualizate arata 1.184+ skill-uri malitioase, aproximativ 20% din marketplace

Vulnerabilitatea in sine a fost descoperita de Mav Levin din echipa de cercetare DepthFirst. RCE cu un singur click, exploatabila chiar si impotriva instantelor legate la localhost. Patch-ul a venit repede, dar adoptia nu. Mii de instante au ramas nepatate saptamani intregi.

OpenClaw nu este singura problema

Daca crezi ca este o problema specifica OpenClaw, uita-te la Model Context Protocol. Intre ianuarie si februarie 2026, cercetatorii de securitate au inregistrat peste 30 de CVE-uri care vizau servere, clienti si infrastructura MCP. Acele vulnerabilitati au rezultat in 437.000 de descarcari compromise.

Defalcarea este familiara oricui a facut AppSec:

  • 43% au fost shell injection pentru ca serverele MCP trimit input-ul utilizatorului direct in comenzi shell
  • 20% au fost defecte de infrastructura in clienti MCP, inspectori si tool-uri proxy
  • 13% au fost bypass de autentificare pentru ca serverele nu aveau autentificare deloc

O vulnerabilitate critica in biblioteca npm mcp-remote (CVSS 9.6) permitea executarea de cod de la distanta prin comenzi OS incorporate in campurile OAuth discovery. A afectat sute de mii de instalari inainte de a fi rezolvata.

Trend Micro a gasit 492 de servere MCP expuse pe internetul public cu zero autentificare. Dintre 2.614 implementari MCP analizate, 82% aveau operatiuni de fisiere vulnerabile la path traversal. Doua treimi aveau o forma de risc de code injection. OWASP a publicat deja un MCP Top 10.

Intre timp, EchoLeak (CVE-2025-32711, CVSS 9.3) a dovedit ca nici agentii AI ai Microsoft nu erau siguri. Un prompt injection zero-click in Microsoft 365 Copilot permitea atacatorilor sa exfiltreze date din email-uri, OneDrive, SharePoint si Teams printr-un singur email construit special. Fara nicio interactiune a utilizatorului. Payload-ul era text pur, invizibil pentru antivirus, firewall-uri si scanare statica.

Cifrele spun o poveste clara

Conform raportului Gravitee State of AI Agent Security 2026, 88% din organizatii au experimentat deja incidente de securitate confirmate sau suspectate legate de agenti AI. In sanatate, procentul a ajuns la 92,7%.

Doar 14,4% din organizatii raporteaza ca toti agentii lor AI au intrat in productie cu aprobare completa de la securitate si IT. Restul? Implementari shadow, review-uri sarite, "o sa securizam mai tarziu".

Situatia gestionarii identitatii este si mai grava. Doar 21,9% din echipe trateaza agentii AI ca entitati independente cu identitate proprie. Aproape jumatate (45,6%) se bazeaza inca pe chei API partajate pentru autentificarea agent-la-agent. Asta inseamna ca atunci cand un agent este compromis, fiecare agent care foloseste aceeasi cheie este expus.

Si impactul financiar este real. Breaches din shadow AI costa in medie cu $670.000 mai mult decat incidentele standard de securitate. Adauga noile rider-e de AI Security din cyber insurance care cer documentatie de red teaming adversarial, si matematica devine simpla: auditeaza acum sau pierzi acoperirea mai tarziu.

Ce ar trebui sa faci inainte de urmatorul sprint

Nu e vorba de frica. E vorba de a ajunge din urma realitatea. Iata ce functioneaza efectiv:

1. Inventariaza fiecare agent AI din organizatia ta. Nu doar pe cele aprobate. Mai ales pe cele pe care un dezvoltator le-a pornit sa "testeze ceva". Daca rulezi OpenClaw, servere MCP sau orice framework agentic, gaseste fiecare instanta.

# Quick network scan for common AI agent ports
nmap -p 18789,3000,8080,8443 --open -sV your-subnet/24
# Check for exposed MCP servers
nmap -p 3000-3100 --open --script=http-title your-subnet/24

2. Elimina configuratiile implicite. Fa bind pe localhost, nu pe 0.0.0.0. Activeaza autentificarea. Daca framework-ul tau nu suporta autentificare nativ, pune-l in spatele unui reverse proxy cu mTLS.

3. Trateaza plugin-urile agentilor ca dependente third-party. Nu ai rula un pachet npm nevizat in productie (sper). Aplica aceeasi rigurozitate skill-urilor agentilor AI si tool-urilor MCP. Fixeaza versiunile. Revizuieste codul sursa. Monitorizeaza pentru atacuri de supply chain.

4. Da agentilor propria identitate. Nu mai folosi chei API partajate. Fiecare agent primeste propriul cont de serviciu cu permisiuni de least-privilege. Monitorizeaza ce acceseaza fiecare agent, cand si de ce.

5. Red teaming pe implementarile de agenti. Prompt injection nu mai e teoretic. Testeaza daca agentii tai pot fi manipulati sa exfiltreze date, sa execute comenzi neautorizate sau sa acceseze resurse in afara scopului lor.

Cum abordeaza DeviDevs aceasta problema

Facem audituri de AI security de dinainte ca "agentic AI" sa devina buzzword. Pattern-ul pe care il vedem in mod repetat este acelasi pe care OpenClaw l-a expus la scara larga: echipele adopta tool-uri AI mai repede decat le securizeaza. Agentul intra in productie luni. Review-ul de securitate se face "trimestrul viitor". Breach-ul se intampla intre cele doua.

Abordarea noastra este directa. Inventariem implementarile tale de agenti AI, le testam pentru exact clasele de vulnerabilitati despre care tocmai ai citit (prompt injection, supply chain poisoning, lacune de autentificare, exfiltrare de date) si iti oferim un plan de remediere prioritizat. Nu un PDF de 200 de pagini care sta intr-un sertar. O lista de lucruri de reparat saptamana asta, ordonate dupa exploatabilitate.

Daca rulezi agenti AI in productie si nu ai testat daca pot fi deturnati, aceasta nu e o lacuna in roadmap-ul tau. E o lacuna in apararea ta.

Fereastra se inchide

48% din profesionistii in securitate cred ca AI agentic va reprezenta principalul vector de atac pana la sfarsitul lui 2026. Termenul limita pentru sistemele high-risk din EU AI Act este in august 2026. Asiguratorii de cyber solicita deja documentatie specifica de securitate AI.

Companiile care rezolva securitatea agentilor AI acum nu vor evita doar breach-uri. Vor fi cele in care partenerii si clientii lor au incredere cu date sensibile. Cele care asteapta vor fi studiile de caz din rapoartele de breach-uri de anul viitor.

Agentii tai AI sunt puternici. Asigura-te ca lucreaza pentru tine, nu impotriva ta.

Despre DeviDevs: Construim platforme ML, securizam sisteme AI si ajutam companiile sa se conformeze cu EU AI Act. devidevs.com

Sistemul tau AI e conform cu EU AI Act? Evaluare gratuita de risc - afla in 2 minute →

Ai nevoie de ajutor cu conformitatea EU AI Act sau securitatea AI?

Programeaza o consultatie gratuita de 30 de minute. Fara obligatii.

Programeaza un Apel

Weekly AI Security & Automation Digest

Get the latest on AI Security, workflow automation, secure integrations, and custom platform development delivered weekly.

No spam. Unsubscribe anytime.

Related Articles

AI Security

Fiecare startup de AI Security a fost achizitionat. Si acum ce facem?

Cisco, Palo Alto si Check Point au achizitionat fiecare startup independent de AI security pentru peste 1,2 miliarde de dolari. Specialistii au disparut.

7 min read
AI Security

OWASP Top 10 pentru agenti AI: ce trebuie facut

OWASP agentic AI top 10 e publicat. 48% dintre profesioniștii de securitate consideră agenții AI vectorul #1 de atac pentru 2026. Cinci pași concreți.

7 min read
EU AI Act

EU GPAI: obligatii pentru utilizatorii AI

UE aplica acum regulile de conformitate GPAI impotriva X si Meta. Daca integrezi GPT, Claude sau Llama in productie, ai obligatii de deployer.

6 min read
← Inapoi la Blog