OpenClaw, платформа ИИ с открытым исходным кодом, стала причиной массовых проблем с безопасностью. По умолчанию бот слушает все сетевые интерфейсы, и многие пользователи не меняют эту настройку, что делает его легкой мишенью для злоумышленников. — theregister.com
Сегодня день, заканчивающийся на “Y”, так что вы знаете, что это значит: очередная катастрофа в сфере кибербезопасности от OpenClaw.
На этот раз команда SecurityScorecard STRIKE, занимающаяся анализом угроз, бьет тревогу из-за огромного количества обнаруженных экземпляров OpenClaw, доступных в интернете. На момент написания статьи их число превышает 135 000. В сочетании с ранее известными уязвимостями платформы для ИИ-ассистентов, разработанной на vibe-coded, и связями с предыдущими взломами, STRIKE предупреждает о системном сбое безопасности в области ИИ-агентов с открытым исходным кодом.
«Наши выводы выявляют огромную проблему доступа и идентификации, созданную плохо защищенной автоматизацией в больших масштабах», — написала команда STRIKE в отчете, опубликованном в понедельник. «Удобство развертывания, настройки по умолчанию и слабый контроль доступа превратили мощных ИИ-агентов в ценные цели для злоумышленников».
Для тех, кто не знаком с сагой о Clawdbot, э-э, Moltbot, нет, подождите, OpenClaw (он постоянно меняет название), это платформа агентного ИИ с открытым исходным кодом, разработанная на vibe-coded, которая, честно говоря, стала полной катастрофой для тех, кто обеспокоен безопасностью. Магазин расширений OpenClaw, где пользователи могут найти дополнения для бота, кишит вредоносным ПО. В последние недели с ним связаны три высокорисковых CVE, и также сообщалось, что его различные расширения могут быть легко взломаны, чтобы раскрыть API-ключи, номера кредитных карт, персональные данные (PII) и другие данные, ценные для киберпреступников.
Возьмите множество уже уязвимых экземпляров и предоставьте им полный доступ к интернету, как обнаружила команда STRIKE по всему миру, и эти проблемы быстро усугубятся.
Резюме проблемы от STRIKE даже не передает всей сути, поскольку количество выявленных уязвимых систем стремительно выросло на их дашборде угроз OpenClaw в реальном времени за несколько часов до публикации нашей статьи.
Возьмем упомянутые выше 135 000+ экземпляров OpenClaw, доступных из интернета — это число на момент написания статьи; когда STRIKE опубликовала свой отчет ранее сегодня, оно составляло чуть более 40 000. STRIKE также упомянула 12 812 экземпляров OpenClaw, обнаруженных как уязвимые к уже известной и исправленной ошибке удаленного выполнения кода (RCE). На момент написания статьи число уязвимых к RCE экземпляров выросло до более чем 50 000. Также резко возросло количество обнаруженных экземпляров, связанных с ранее сообщенными взломами (не обязательно связанными), с 549 до более чем 53 000, как и количество доступных из интернета экземпляров OpenClaw, связанных с известными IP-адресами злоумышленников.
Другими словами, это не что иное, как готовящаяся катастрофа, и все благодаря внезапно ставшему популярным инструменту ИИ, разработанному на vibe-coded с минимальным вниманием к безопасности его кода или пользователей.
Это не значит, что пользователи не несут частичной вины за проблему. Возьмем, к примеру, настройку сетевого подключения OpenClaw по умолчанию.
«Из коробки OpenClaw привязывается к `0.0.0.0:18789`, что означает прослушивание всех сетевых интерфейсов, включая общедоступный интернет», — отметила STRIKE. «Для такого мощного инструмента по умолчанию должно быть `127.0.0.1` (только localhost). Но это не так».
STRIKE рекомендует всем пользователям OpenClaw как минимум немедленно изменить эту привязку, чтобы она указывала на localhost. Однако, помимо этого, вице-президент по анализу угроз и исследованиям SecurityScorecard Джереми Тернер хочет, чтобы пользователи знали: большинство недостатков системы связаны не с невнимательностью пользователей к настройкам по умолчанию. В электронном письме The Register он сообщил, что многие проблемы OpenClaw существуют по замыслу, поскольку он создан для внесения изменений в систему и раскрытия дополнительных служб в интернете по своей природе.
«Это похоже на то, как вы даете случайному человеку доступ к своему компьютеру для выполнения задач», — сказал Тернер. «Если вы наблюдаете и проверяете, это огромная помощь. Если вы просто уйдете и скажете, что все дальнейшие инструкции будут приходить по электронной почте или SMS, они могут выполнять инструкции кого угодно».
Как отметила STRIKE, компрометация экземпляра OpenClaw означает получение доступа ко всему, к чему агент может получить доступ: будь то хранилище учетных данных, файловая система, платформа обмена сообщениями, веб-браузер или просто кэш личных данных, собранных о пользователе.
И поскольку многие из обнаруженных экземпляров OpenClaw поступают с корпоративных IP-адресов, а не только с домашних систем, стоит отметить, что это проблема не только для отдельных лиц, экспериментирующих с ИИ.
Тернер предупреждает, что OpenClaw нельзя доверять, особенно в корпоративных условиях.
«Тщательно обдумайте, как вы интегрируете это, и тестируйте в виртуальной машине или отдельной системе, где вы ограничиваете данные и доступ с тщательным рассмотрением», — пояснил Тернер. «Представьте, что вы нанимаете работника с криминальным прошлым в области кражи личных данных, который хорошо умеет программировать и может выполнять инструкции кого угодно».
Тем не менее, Тернер не призывает частных лиц и организации полностью отказаться от агентного ИИ, такого как OpenClaw — он просто хочет, чтобы потенциальные пользователи были настороже и учитывали риски при развертывании потенциально революционного нового технологического продукта, изобилующего уязвимостями.
«Все эти новые возможности невероятны, и исследователи заслуживают большой похвалы за демократизацию доступа к этим новым технологиям», — сказал нам Тернер. «Научитесь плавать, прежде чем прыгать в океан».
Или просто держитесь подальше — океан ужасен. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Brandon Vigliarolo