Более месяца специалисты по безопасности предупреждают об опасностях использования OpenClaw — вирусного агентного ИИ-инструмента, который произвел фурор в среде разработчиков. Недавно устраненная уязвимость служит наглядным примером того, почему это так.
OpenClaw, представленный в ноябре и набравший уже 347 тысяч звезд на Github, по замыслу берет под контроль компьютер пользователя и взаимодействует с другими приложениями и платформами для помощи в решении множества задач, включая организацию файлов, проведение исследований и онлайн-покупки. Чтобы быть полезным, ему необходим доступ — и много его — к максимально возможному числу ресурсов. Telegram, Discord, Slack, локальные и общие сетевые файлы, учетные записи и активные сессии — лишь некоторые из предполагаемых ресурсов. После предоставления доступа OpenClaw спроектирован так, чтобы действовать в точности как пользователь, с теми же широкими правами и возможностями.
Серьезные последствия
В начале этой недели разработчики OpenClaw выпустили исправления безопасности для трех уязвимостей с высоким уровнем критичности. Рейтинг серьезности одной из них, CVE-2026-33579, составляет от 8,1 до 9,8 из 10 возможных в зависимости от используемой метрики — и это не случайно. Она позволяет любому, имеющему права сопряжения (наименьший уровень разрешений), получить административный статус. С этим злоумышленник получает контроль над всеми ресурсами, к которым имеет доступ экземпляр OpenClaw.
«Практические последствия серьезны», — написали исследователи из AI app-builder Blink. «Злоумышленник, уже обладающий областью действия operator.pairing — наименьшим значимым разрешением в развертывании OpenClaw — может незаметно одобрять запросы на сопряжение устройств, запрашивающих область действия operator.admin. Как только это одобрение проходит, атакующее устройство получает полный административный доступ к экземпляру OpenClaw. Вторичный эксплойт не требуется. Никакого взаимодействия с пользователем, кроме первоначального шага сопряжения, не нужно».
В сообщении далее говорилось: «Для организаций, использующих OpenClaw в качестве общекорпоративной платформы ИИ-агентов, скомпрометированное устройство с правами operator.admin может считывать все подключенные источники данных, выгружать учетные данные, хранящиеся в среде навыков агента, выполнять произвольные вызовы инструментов и переходить к другим подключенным сервисам. Словосочетание „повышение привилегий“ здесь не отражает сути: результат — полный захват экземпляра».
,
Хотя уязвимость устранена, это означает, что тысячи экземпляров могли быть скомпрометированы, причем пользователи об этом даже не подозревали.
С тех пор как OpenClaw стал вирусным феноменом, специалисты по безопасности предупреждали об опасностях, связанных с тем, что LLM — по своей природе ненадежный и склонный к самым элементарным ошибкам — получает доступ к такому огромному количеству конфиденциальных ресурсов и действует автономно. Ранее в этом году руководитель Meta* заявил, что велел своей команде не использовать OpenClaw на рабочих ноутбуках под угрозой увольнения. Руководитель отметил, что непредсказуемость инструмента может привести к утечкам в и без того защищенных средах. Другие менеджеры ввели такой же запрет. Исследователи безопасности также выступили с предупреждениями.
Дополнительную обеспокоенность вызывает то, что исправления были выпущены в воскресенье, но официальное присвоение CVE произошло только во вторник. Это означает, что бдительные злоумышленники получили двухдневное преимущество для эксплуатации, прежде чем большинство пользователей OpenClaw узнали о необходимости установки патчей.
Повышая вероятность активной эксплуатации, Blink сообщил, что 63 процента из 135 000 экземпляров OpenClaw, обнаруженных в открытом доступе в Интернете в ходе сканирования ранее в этом году, работали без аутентификации. В результате злоумышленники уже имели необходимые права сопряжения для получения административного контроля без каких-либо учетных данных.
«В таких развертываниях любой сетевой посетитель может запросить доступ для сопряжения и получить область действия operator.pairing без предоставления имени пользователя или пароля», — заявили в Blink. «Защитный барьер, который должен замедлить CVE-2026-33579, отсутствует».
Уязвимость проистекает из того, что OpenClaw не запрашивает никакой аутентификации при запросе сопряжения на уровне администратора. Основная функция утверждения — src/infra/device-pairing.ts — не проверяла права безопасности утверждающей стороны, чтобы убедиться, что у нее есть необходимые привилегии для предоставления запроса. Пока запрос на сопряжение был корректно сформирован, он одобрялся.
Рекомендация исходить из факта компрометации вполне обоснована. Любой, кто использует OpenClaw, должен тщательно проверить все события одобрения /pair в журналах активности за последнюю неделю. Помимо этого, пользователям следует пересмотреть свое использование OpenClaw в целом. Любая эффективность, полученная от использования инструмента, может быть легко сведена на нет в случае, если злоумышленник получит ключи от сетевого королевства.
Пост обновлен с удалением упоминания о посте на Reddit.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Dan Goodin
