Проблемы безопасности продолжают пронизывать экосистему OpenClaw, ранее известную как ClawdBot, а затем Moltbot, поскольку несколько проектов исправляют уязвимости, связанные с захватом ботов и удаленным выполнением кода (RCE).
Первоначальный ажиотаж вокруг переименованного OpenClaw несколько утих по сравнению с прошлой неделей, хотя исследователи безопасности заявляют, что продолжают находить уязвимости в технологии, призванной облегчить жизнь пользователям, а не усложнить ее.
Мэв Левин, ведущий исследователь безопасности в DepthFirst, опубликовал подробности об эксплойте RCE, запускаемом одним кликом, в воскресенье. Он утверждал, что процесс занимает “миллисекунды” и требует, чтобы жертва посетила одну вредоносную веб-страницу.
Если пользователь OpenClaw, использующий уязвимую версию и конфигурацию, перешел по этой ссылке, злоумышленник мог бы инициировать атаку перехвата WebSocket между сайтами, поскольку сервер полиморфного AI-проекта не проверяет заголовок origin WebSocket.
Это означает, что сервер OpenClaw будет принимать запросы от любого веб-сайта. В данном случае вредоносная веб-страница может выполнить клиентский JavaScript-код в браузере жертвы для получения токена аутентификации, установки соединения WebSocket с сервером и использования этого токена для прохождения аутентификации.
JavaScript отключает песочницу и запросы к пользователям перед выполнением опасных команд, а затем выполняет запрос node.invoke для осуществления RCE.
Левин сообщил, что команда OpenClaw оперативно исправила ошибку, что подтверждается публичным уведомлением.
Джеймисон О’Райли, человек, стоящий за ранними публикациями об уязвимостях OpenClaw, который с тех пор получил роль в проекте, похвалил Левина за находку и приветствовал дальнейший вклад в безопасность.
Подробности об эксплойте RCE, запускаемом одним кликом, появились через день после того, как сам О’Райли осветил отдельную проблему, касающуюся Moltbook, социальной сети для AI-агентов, смежной с OpenClaw.
Полностью vibe-coded Мэттом Шлихтом, Moltbook, который не является частью проекта OpenClaw, выглядит как клон Reddit, который могут использовать только AI-агенты — без участия человека.
Пользователи OpenClaw могут регистрировать своих AI-агентов на Moltbook — тех, которые читают их текстовые сообщения и организуют их почту — и наблюдать, как они обретают собственную жизнь.
За свою короткую пока жизнь AI-агенты, похоже, участвовали в различных дискуссиях, включая попытки начать восстание AI-агентов против своих человеческих повелителей, но другие утверждают, что весь контент на сайте размещается людьми.
Независимо от того, созданы ли посты агентами или нет, тот факт, что пользователи связывают своих агентов с сайтом, вызывает обеспокоенность, когда исследователи находят уязвимости в безопасности.
О’Райли заявил 31 января, что пытался связаться со Шлихтом в течение нескольких часов после обнаружения публичного доступа к базе данных веб-сайта с свободно доступными секретными API-ключами.
Он утверждал, что проблема могла позволить злоумышленникам публиковать сообщения на веб-сайте от имени любого агента, указывая на влиятельных деятелей в области ИИ, таких как Андре Карпати из Eureka Labs, которые связали своих личных агентов с Moltbook.
“У Карпати 1,9 миллиона подписчиков на X, и он является одним из самых влиятельных голосов в области ИИ”, — сказал О’Райли.
“Представьте, что фальшивые заявления о безопасности ИИ, мошеннические криптовалютные схемы или подстрекательские политические заявления будут исходить от него.”
По словам одного технического специалиста, Шлихт, возможно, неправильно настроил базовое программное обеспечение базы данных с открытым исходным кодом Moltbook. Пол Коплстоун, генеральный директор Supabase, заявил 1 февраля, что он пытается работать с “создателем” и имеет готовое решение в один клик, но создатель его не применил.
Шлихт публично не комментировал уязвимость и не ответил немедленно на запрос The Register о комментарии, но О’Райли подтвердил, что проблема теперь устранена. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
