На фоне массового внедрения ИИ-ассистента OpenClaw был замечен вредоносный софт, крадущий файлы, связанные с этим фреймворком, которые содержат API-ключи, токены аутентификации и другие секретные данные.
OpenClaw (ранее ClawdBot и MoltBot) — это локально работающий фреймворк ИИ-агентов, который поддерживает постоянную конфигурацию и память на машине пользователя. Инструмент может получать доступ к локальным файлам, входить в электронную почту и приложения для общения на хосте, а также взаимодействовать с онлайн-сервисами.
С момента своего выпуска OpenClaw получил широкое распространение по всему миру, пользователи используют его для помощи в повседневных задачах и в качестве ИИ-ассистента.
Однако возникли опасения, что, учитывая его популярность, злоумышленники могут начать нацеливаться на файлы конфигурации фреймворка, которые содержат секретные данные аутентификации, используемые ИИ-агентом для доступа к облачным сервисам и ИИ-платформам.
Обнаружен инфостилер, крадущий файлы OpenClaw
Компания Hudson Rock сообщила, что задокументировала первый случай кражи инфостилерами файлов, связанных с OpenClaw, для извлечения хранящихся в них секретных данных.
«Hudson Rock обнаружил активное заражение, в ходе которого инфостилер успешно эксфильтровал конфигурационную среду OpenClaw жертвы», — говорится в отчете.
«Эта находка знаменует собой важную веху в эволюции поведения инфостилеров: переход от кражи учетных данных браузера к сбору «душ» и личностей персональных ИИ-агентов».
HudsonRock предсказывал это развитие с конца прошлого месяца, называя OpenClaw «новой основной целью для инфостилеров» из-за высокочувствительных данных, с которыми работают агенты, и их относительно слабой защиты.
Алон Гал, соучредитель и технический директор Hudson Rock, сообщил BleepingComputer, что, по имеющимся данным, это вариант инфостилера Vidar, а кража данных произошла 13 февраля 2026 года, когда произошло заражение.
Гал отметил, что инфостилер, по-видимому, не нацелен конкретно на OpenClaw, а выполняет общую процедуру кражи файлов, сканируя на наличие конфиденциальных файлов и каталогов, содержащих такие ключевые слова, как «token» и «private key».
Поскольку файлы в каталоге конфигурации «.openclaw» содержали эти и другие ключевые слова, они были украдены вредоносным ПО.
Украденные вредоносным ПО файлы OpenClaw:
- openclaw.json — Раскрывает отредактированный адрес электронной почты жертвы, путь к рабочей области и высокоэнтропийный токен аутентификации шлюза, который может обеспечить удаленное подключение к локальному экземпляру OpenClaw (если он доступен) или выдачу себя за клиента в аутентифицированных запросах.
- device.json — Содержит publicKeyPem и privateKeyPem, используемые для сопряжения и подписи. С помощью закрытого ключа злоумышленник может подписывать сообщения от имени устройства жертвы, потенциально обходя проверки «Safe Device» и получая доступ к зашифрованным журналам или облачным сервисам, связанным с устройством.
- soul.md и файлы памяти (AGENTS.md, MEMORY.md) — Определяют поведение агента и хранят постоянные контекстные данные, включая журналы ежедневной активности, личные сообщения и события календаря.
Инструмент анализа ИИ от HudsonRock пришел к выводу, что украденных данных достаточно для потенциального полного компрометирования цифровой личности жертвы.
Исследователи отмечают, что ожидают дальнейшего сосредоточения инфостилеров на OpenClaw по мере того, как инструмент все больше интегрируется в профессиональные рабочие процессы, включая более таргетированные механизмы для ИИ-агентов.
Тем временем Tenable обнаружил уязвимость максимальной степени серьезности в nanobot, ультралегком персональном ИИ-ассистенте, вдохновленном OpenClaw, которая потенциально может позволить удаленным злоумышленникам полностью захватить сеансы WhatsApp* через доступные экземпляры.
Nanobot, выпущенный две недели назад, уже имеет 20 тыс. звезд и более 3 тыс. форков на GitHub. Команда проекта выпустила исправления для уязвимости, отслеживаемой под кодом CVE-2026-2577, в версии 0.13.post7.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
