Исследователи компании Oasis Security обнаружили критическую уязвимость нулевого клика в OpenClaw — одном из самых быстрорастущих открытых AI-агентных фреймворков за всю историю. Проблема позволяла любому вредоносному сайту незаметно получить полный контроль над локальным AI-агентом разработчика без установки плагинов, расширений или каких-либо действий со стороны пользователя.
OpenClaw — самостоятельно размещаемый AI-агент, ранее известный под именами Clawdbot и MoltBot, — набрал более 100 000 звёзд на GitHub всего за пять дней и стал персональным помощником по умолчанию для тысяч разработчиков по всему миру. Инструмент работает локально на ноутбуке пользователя, подключаясь к мессенджерам, календарям, инструментам разработки и файловой системе, и способен автономно совершать действия от имени владельца. Именно этот широкий доступ и делает уязвимость столь опасной.
Как работает атака
OpenClaw использует локальный WebSocket-шлюз, привязанный к localhost, который выступает центральным звеном оркестрации агента. Подключённые к нему «ноды» — например, компаньон-приложение для macOS, iOS-устройства или другие машины — регистрируются в шлюзе и предоставляют такие возможности, как выполнение системных команд, доступ к файлам и чтение контактов.
Для атаки достаточно одного условия: разработчик заходит на вредоносный или скомпрометированный сайт в обычном браузере. Дальше цепочка эксплуатации разворачивается так:
- жертва открывает в браузере сайт, контролируемый атакующим;
- JavaScript на странице открывает WebSocket-соединение с шлюзом OpenClaw на localhost — это возможно, потому что браузеры не блокируют кросс-доменные WebSocket-подключения к адресам обратной петли (loopback);
- скрипт перебирает пароль шлюза со скоростью в сотни попыток в секунду — ограничитель частоты запросов полностью исключает соединения с localhost, то есть неудачные попытки не считаются, не тормозятся и не логируются;
- после успешной аутентификации скрипт незаметно регистрируется как доверенное устройство — шлюз автоматически одобряет сопряжение с localhost без подтверждения пользователя;
- атакующий получает полный административный контроль над агентом.
В основе проблемы лежат три ошибочных архитектурных допущения: что соединениям с localhost можно доверять по умолчанию, что трафик из браузера не способен достучаться до локальных сервисов, и что к loopback-адресам не нужно применять ограничение частоты запросов. В современных браузерных окружениях все три допущения оказались неверны.
Получив аутентифицированную сессию, удалённый атакующий может напрямую взаимодействовать с AI-агентом: попросить его найти API-ключи в истории Slack, прочитать личные сообщения, выгрузить файлы с подключённых нод и выполнить произвольные команды в оболочке. Для разработчика с типичным набором интеграций OpenClaw, по оценке исследователей, это равносильно полной компрометации рабочей станции, инициированной из одной вкладки браузера, — причём без каких-либо видимых признаков для жертвы.
Proof-of-concept от Oasis Security продемонстрировал полную цепочку атаки от начала до конца: команда успешно подобрала пароль шлюза и взаимодействовала с работающим экземпляром агента из постороннего сеанса браузера.
Что делать
Команда OpenClaw присвоила уязвимости высокий уровень серьёзности и выпустила патч в течение 24 часов — заметно быстрая реакция для проекта, развиваемого силами волонтёров. Тем не менее, учитывая стремительное распространение инструмента, организациям стоит исходить из того, что непропатченные экземпляры до сих пор существуют в парке разработческих машин, и относиться к устранению уязвимости с той же срочностью, что и к любому критическому патчу. Рекомендации исследователей:
- немедленно обновиться до OpenClaw версии 2026.2.25 или новее;
- провести инвентаризацию всех экземпляров OpenClaw на машинах разработчиков, включая теневые установки вне поля зрения IT-службы;
- проверить и отозвать лишние учётные данные, API-ключи и права нод, выданные экземплярам агента;
- выстроить политики управления идентификацией AI-агентов, применяя к ним те же требования строгости, что и к учётным записям людей и сервисным аккаунтам.
Источник: Cybersecurity News.