Исследование: критическая уязвимость в Openclaw позволяет полностью перехватить права администратора

В новом исследовании содержится предупреждение о том, что Openclaw грозит системный сбой безопасности после того, как исследователи обнаружили критические уязвимости, зараженные вредоносным ПО расширения и риски внедрения в командную строку, которые позволяют злоумышленникам похищать данные или захватывать контроль над системами.

Заблуждение «доверенной среды»

Исследование, проведенное 31 марта компанией Certik, специализирующейся на безопасности Web3, приоткрыло завесу над «системным коллапсом» границ безопасности в Openclaw, платформе искусственного интеллекта (ИИ) с открытым исходным кодом. Несмотря на стремительный рост популярности, выразившийся в более чем 300 000 звезд на Github, за четыре месяца в этой платформе накопилось более 100 CVE и 280 рекомендаций по безопасности, что, по мнению исследователей, создало «неограниченную» поверхность атаки.

В отчете подчеркивается фундаментальный архитектурный недостаток: изначально Openclaw был разработан для «доверенных локальных сред». Однако по мере взрывного роста популярности платформы пользователи начали развертывать ее на серверах, подключенных к Интернету — переход, к которому программное обеспечение никогда не было готово.
Согласно отчету об исследовании, исследователи выявили несколько точек отказа с высоким риском, которые ставят под угрозу пользовательские данные, включая критическую уязвимость CVE-2026-25253, которая позволяет злоумышленникам получить полный административный контроль. Обманом заставив пользователя перейти по одной вредоносной ссылке, хакеры могут похитить токены аутентификации и захватить контроль над ИИ-агентом.

Между тем, глобальное сканирование выявило более 135 000 экземпляров Openclaw, доступных из Интернета, в 82 странах. Во многих из них аутентификация была отключена по умолчанию, что приводило к утечке API-ключей, истории чатов и конфиденциальных учетных данных в виде открытого текста. В отчете также утверждается, что репозиторий платформы для «навыков», которыми делятся пользователи, был заражен вредоносным ПО, и в сотнях этих расширений были обнаружены встроенные программы-инфостэлеры, предназначенные для перехвата сохраненных паролей и данных криптовалютных кошельков.

Кроме того, злоумышленники теперь скрывают вредоносные инструкции в электронных письмах и на веб-страницах. Когда ИИ-агент обрабатывает эти документы, его можно заставить выводить файлы или выполнять несанкционированные команды без ведома пользователя.

«Openclaw стал примером того, что происходит, когда большие языковые модели перестают быть изолированными чат-системами и начинают действовать в реальных средах», — сказал ведущий аудитор из Penligent. «Он объединяет классические дефекты программного обеспечения в среду выполнения с высокими делегированными полномочиями, что делает зону поражения любой отдельной ошибки огромной».

Рекомендации по снижению рисков и обеспечению безопасности

В ответ на эти выводы эксперты призывают как разработчиков, так и конечных пользователей применять подход «безопасность прежде всего». Разработчикам исследование рекомендует создавать формальные модели угроз с самого начала, обеспечивать строгую изоляцию в песочнице и гарантировать, что любой подпроцесс, запущенный ИИ, наследует только неизменяемые разрешения с низким уровнем привилегий.

Для корпоративных пользователей командам безопасности настоятельно рекомендуется использовать инструменты обнаружения и реагирования на угрозы на конечных устройствах (EDR) для выявления несанкционированных установок Openclaw в корпоративных сетях. С другой стороны, отдельным пользователям рекомендуется запускать инструмент исключительно в изолированной среде без доступа к производственным данным. Что наиболее важно, пользователи должны обновиться до версии 2026.1.29 или более поздней, чтобы исправить известные уязвимости удаленного выполнения кода (RCE).

Хотя разработчики Openclaw недавно заключили партнерское соглашение с Virustotal для сканирования загруженных навыков, исследователи Certik предупреждают, что это «не панацея». Пока платформа не достигнет более стабильной фазы безопасности, общее мнение в отрасли заключается в том, что к данному программному обеспечению следует относиться как к по сути недоверенному.

Часто задаваемые вопросы ❓

• Что такое Openclaw? Openclaw — это фреймворк искусственного интеллекта с открытым исходным кодом, который быстро набрал более 300 000 звезд на GitHub.
• Почему это рискованно? Она была создана для надежного локального использования, но сейчас широко развернута в сети, что обнажает серьезные уязвимости.
• Какие угрозы существуют? Критические уязвимости CVE, расширения, зараженные вредоносным ПО, и более 135 000 уязвимых экземпляров в 82 странах.
• Как пользователи могут обеспечить свою безопасность? Запускайте программу только в изолированных средах и обновите ее до версии 2026.1.29 или более поздней.