ClawJacked: как вредоносный сайт мог захватить локального AI-агента OpenClaw

Разработчики платформы OpenClaw закрыли опасную уязвимость, из-за которой обычный заход на вредоносный сайт мог обернуться полным захватом локально запущенного AI-агента. Проблему обнаружила компания Oasis Security и назвала её ClawJacked.

Уязвимость жила в самом ядре

По словам исследователей, брешь находится не в плагинах, не в маркетплейсе и не в сторонних расширениях — она была в базовом шлюзе (gateway) OpenClaw, работающем именно так, как описано в документации. Шлюз представляет собой локальный WebSocket-сервер, привязанный к localhost и защищённый паролем.

Атака рассчитана на такой сценарий: у разработчика на ноутбуке установлен и запущен OpenClaw, а сам он через социальную инженерию или иным способом попадает на сайт злоумышленника. Дальше происходит следующее:

  • вредоносный JavaScript на странице открывает WebSocket-соединение к порту шлюза OpenClaw на localhost;
  • скрипт подбирает пароль перебором, пользуясь отсутствием ограничения на количество попыток для локальных подключений;
  • после успешной авторизации с правами администратора скрипт незаметно регистрирует себя как доверенное устройство — шлюз одобряет это автоматически, без запроса к пользователю;
  • в результате атакующий получает полный контроль над AI-агентом: может взаимодействовать с ним, выгружать конфигурацию, перечислять подключённые узлы и читать логи приложения.

«Любой сайт, который вы посещаете, может открыть соединение к вашему localhost. В отличие от обычных HTTP-запросов, браузер не блокирует такие кросс-доменные подключения», — отметили в Oasis Security. По их словам, пока пользователь просто листает страницу, скрипт может незаметно подключиться к локальному шлюзу OpenClaw — и человек этого не увидит. Шлюз ослабляет ряд защитных механизмов именно для локальных соединений: обычно подключение нового устройства требует подтверждения пользователя, но с localhost оно проходит автоматически.

После ответственного раскрытия информации OpenClaw выпустила патч менее чем за 24 часа — версия 2026.2.25 вышла 26 февраля 2026 года. Пользователям рекомендуют как можно скорее обновиться, периодически проверять права, выданные AI-агентам, и внедрять контроль для «нечеловеческих» (агентных) учётных записей.

Не единственная проблема

Публикация появилась на фоне более широкого внимания к безопасности экосистемы OpenClaw: AI-агенты имеют доступ к разрозненным корпоративным системам и полномочия выполнять задачи в них, из-за чего последствия компрометации могут быть куда масштабнее обычных. Отчёты компаний Bitsight и NeuralTrust показали, что экземпляры OpenClaw, оставленные доступными из интернета, расширяют поверхность атаки — а внедрение prompt-инъекций в письма или сообщения Slack, которые обрабатывает агент, превращает его в оружие против собственной инфраструктуры.

Отдельно OpenClaw закрыла уязвимость log poisoning: через WebSocket-запросы к публично доступному экземпляру на TCP-порту 18789 злоумышленник мог записывать вредоносное содержимое в лог-файлы. Поскольку агент сам читает свои логи для диагностики задач, это открывало путь для скрытых prompt-инъекций. Проблему устранили в версии 2026.2.13 от 14 февраля 2026 года. В Eye Security пояснили: «Если внедрённый текст интерпретируется как значимая рабочая информация, а не как недоверенный ввод, это может повлиять на решения, рекомендации или автоматические действия агента». Речь идёт не о мгновенном захвате, а о манипуляции логикой рассуждений агента, влиянии на шаги диагностики, возможной утечке данных и косвенном злоупотреблении подключёнными интеграциями.

За последние недели в OpenClaw также нашли ряд уязвимостей — CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322 и CVE-2026-26329 — от средней до высокой степени опасности, ведущих к удалённому выполнению кода, командной инъекции, SSRF, обходу аутентификации и обходу каталогов. Их закрыли в версиях 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 и 2026.2.14. В компании Endor Labs подчеркнули, что по мере распространения фреймворков AI-агентов в корпоративной среде анализ безопасности должен учитывать не только традиционные уязвимости, но и специфичные для AI векторы атак.

Вредоносные скиллы в ClawHub

Параллельно исследователи обнаружили, что вредоносные скиллы, загруженные в маркетплейс ClawHub, используются для доставки нового варианта macOS-стилера Atomic Stealer, который разрабатывает и сдаёт в аренду киберпреступная группа Cookie Spider. По данным Trend Micro, заражение начинается с обычного файла SKILL.md, устанавливающего некий «необходимый компонент»: скилл выглядит безобидно и даже был помечен как безопасный на VirusTotal. OpenClaw переходит на указанный сайт, получает инструкции по установке и, если LLM решает им следовать, выполняет их.

Инструкции, размещённые на сайте openclawcli.vercel.app, содержат команду загрузки и запуска стилера с внешнего сервера по IP-адресу 91.92.242[.]30. Отдельно исследователи зафиксировали кампанию, где аккаунт под именем @liuhui1010 оставлял комментарии на страницах легитимных скиллов, убеждая пользователей вручную выполнить в Terminal команду, «если скилл не работает на macOS» — она также загружает Atomic Stealer с того же IP-адреса, который ранее уже фигурировал в отчётах Koi Security и OpenSourceMalware о распространении этого стилера через ClawHub.

Анализ 3505 скиллов ClawHub, проведённый компанией Straiker, выявил 71 вредоносный — часть из них маскировалась под легитимные крипто-инструменты, но содержала скрытые функции перенаправления средств на кошельки злоумышленников.

Два других скилла, bob-p2p-beta и runware, оказались частью многоуровневой криптомошеннической схемы с цепочкой атак «агент — агенту», нацеленной на всю экосистему AI-агентов. Их связывают с злоумышленником, действующим под псевдонимами «26medias» на ClawHub и «BobVonNeumann» — в соцсети для агентов Moltbook и в X. По словам исследователей Яша Сомалкара и Дэна Регаладо, BobVonNeumann представляется на Moltbook как самостоятельный AI-агент и с этой позиции продвигает собственные вредоносные скиллы среди других агентов, эксплуатируя доверие, которое агенты по умолчанию оказывают друг другу — по сути, это атака на цепочку поставок с элементом социальной инженерии.

Скилл bob-p2p-beta инструктирует другие AI-агенты хранить приватные ключи Solana-кошельков в открытом виде, покупать бесполезные токены $BOB на pump.fun и проводить все платежи через инфраструктуру, подконтрольную атакующему. Второй скилл маскируется под безобидный инструмент генерации изображений, чтобы повысить доверие к разработчику. Пользователям рекомендуют проверять скиллы перед установкой, не передавать учётные данные и ключи без крайней необходимости и отслеживать поведение установленных скиллов.

Предупреждение Microsoft

Риски самостоятельно размещаемых агентных сред, таких как OpenClaw, побудили Microsoft выпустить отдельное предупреждение: неконтролируемое развёртывание может привести к утечке учётных данных, изменению памяти агента и компрометации хоста, если агента удастся обмануть и заставить загрузить и выполнить вредоносный код через отравленный скилл или prompt-инъекцию. В Microsoft Defender Security Research Team заявили: «Из-за этих особенностей OpenClaw следует рассматривать как выполнение недоверенного кода с постоянными учётными данными. Запускать его на обычной личной или корпоративной рабочей станции неуместно». Если организации всё же необходимо протестировать OpenClaw, делать это стоит только в полностью изолированной среде — выделенной виртуальной машине или отдельной физической системе, — используя выделенные непривилегированные учётные данные, доступ только к несущественным данным, постоянный мониторинг и заранее подготовленный план пересборки среды.

Источник: The Hacker News.