Добавить в корзинуПозвонить
Найти в Дзене
Нейрозона сегодня
24 подписчика

OpenClaw взломан одним письмом: полная компрометация системы

1
1 мин
ИБ-исследователь veganmosfet обнаружил критическую уязвимость в OpenClaw, позволяющую получить полный контроль над системой агента всего лишь через одно электронное письмо, отправленное на Gmail жертвы, без каких-либо действий со стороны пользователя. Атака эксплуатирует три дефолтные особенности конфигурации OpenClaw: автоматическую передачу содержимого писем в языковую модель с ролью пользователя, отключенную песочницу и автоматическое выполнение кода из плагинов, находящихся в рабочей директории, без проверки подлинности. В письме используется prompt injection, обходящий встроенные механизмы защиты OpenClaw благодаря опечатке в закрывающем теге. Языковая модель GPT-5.2 интерпретирует некорректный тег как завершение внешнего контента и выполняет последующие инструкции как доверенные. Это приводит к клонированию вредоносного плагина и получению reverse shell. Автор отмечает, что OpenClaw функционирует в соответствии с документацией, и предлагает решения для усиления защиты, такие как

ИБ-исследователь veganmosfet обнаружил критическую уязвимость в OpenClaw, позволяющую получить полный контроль над системой агента всего лишь через одно электронное письмо, отправленное на Gmail жертвы, без каких-либо действий со стороны пользователя.

Атака эксплуатирует три дефолтные особенности конфигурации OpenClaw: автоматическую передачу содержимого писем в языковую модель с ролью пользователя, отключенную песочницу и автоматическое выполнение кода из плагинов, находящихся в рабочей директории, без проверки подлинности.

В письме используется prompt injection, обходящий встроенные механизмы защиты OpenClaw благодаря опечатке в закрывающем теге. Языковая модель GPT-5.2 интерпретирует некорректный тег как завершение внешнего контента и выполняет последующие инструкции как доверенные. Это приводит к клонированию вредоносного плагина и получению reverse shell.

Автор отмечает, что OpenClaw функционирует в соответствии с документацией, и предлагает решения для усиления защиты, такие как отключение сторонних плагинов по умолчанию, изоляция суб-агентов в Docker-песочнице и ограничение прав инструментов в не-основных сессиях.

Исследование дополняет предыдущие работы, демонстрирующие уязвимость OpenClaw к утечке системных промптов. Разработчики признают проблему и рекомендуют пользователям ограничивать права агента, однако ответственность за безопасную конфигурацию пока лежит на самих пользователях.