Если вы думали, что запуск агента ИИ локально держит его в безопасности, вас ждет сюрприз. Исследователи Oasis Security обнаружили цепочку уязвимостей, позволившую вредоносному сайту тайно подключиться к локальному агенту OpenClaw и захватить полный контроль. Проблема связана с фундаментальным допущением о доверии к "localhost". — csoonline.com
Если вы полагали, что запуск агента ИИ локально надежно удерживает его в пределах вашей машины, вас ждет сюрприз. Исследователи из Oasis Security обнаружили цепочку уязвимостей, которая позволила вредоносному веб-сайту незаметно подключиться к локально запущенному агенту OpenClaw и получить полный контроль.
Проблема коренится в фундаментальном допущении, заложенном в инструментах разработчика: всему, что поступает с «localhost», можно доверять. Однако в реальности современные браузеры позволяют внешним веб-сайтам открывать WebSocket-соединения с локальными службами.
Согласно выводам Oasis, вредоносные страницы в браузере могут незаметно подключаться к шлюзу OpenClaw, который автоматически доверяет локальным хостам и отключает ограничение частоты запросов, что позволяет быстро подбирать пароли методом перебора и несанкционированно сопрягать устройства.
«Современный веб-браузер действует как пористая мембрана, позволяя недоверенному внешнему JavaScript преодолевать разрыв до локальных служб через WebSockets», — заявил Джейсон Сороко, старший научный сотрудник Sectigo. «Опираясь на локальный IP-адрес для предоставления иммунитета от ограничения частоты запросов и для незаметного автоматического одобрения сопряжения устройств, система отказывается от основных принципов архитектуры нулевого доверия».
После захвата злоумышленник может получить высокие привилегии агента OpenClaw, включая автономные рабочие процессы, доступ к кодовым базам, интеграциям и учетным данным. Исследователи Oasis назвали уязвимость ClawJacked, отслеживаемую как CVE-2026-25253, и сообщили о полном коде доказательства концепции (PoC) компании OpenClaw, которая оперативно устранила проблему.
«localhost» стал слабым звеном
Исследование Oasis Security показало, как сочетание проектных решений позволило возникнуть этой уязвимости. OpenClaw полагался на локальное привязывание, автоматическое сопряжение устройств и минимальное трение при аутентификации для оптимизации процесса внедрения.
Поскольку WebSocket-соединения с localhost не ограничиваются традиционными механизмами защиты от межсайтовых запросов (cross-origin), враждебный веб-сайт мог инициировать связь с локальным шлюзом агента. Оттуда слабые элементы управления аутентификацией и неявное доверие к локальным источникам позволяют злоумышленнику сопрячь сеанс устройства и начать выдавать команды.
«Что поражает, так это то, что очевидно: полезность продукта росла быстрее, чем безопасность», — отметил Рэндалл Барр, CISO в Cequence Security. «Дизайн был сосредоточен на максимально гладком опыте разработчика за счет использования локального привязывания, автоматического сопряжения устройств и снижения трения при подключении. Это ускорило внедрение, но также сделало защитные механизмы менее эффективными».
Гал Мойал из Noma Security повторил эту обеспокоенность тем, что агентурные инструменты ИИ отдают приоритет бесшовному опыту разработчика перед безопасностью. Он отметил, что доступ WebSocket к localhost — это известное поведение браузера, «но его пересечение с нерегулируемой конечной точкой аутентификации и автоматическим доверием к устройству от localhost создает особенно опасную комбинацию».
Полная цепочка атаки включает посещение жертвой вредоносного веб-сайта, скрытый скрипт которого через WebSockets подключается к локально запущенному шлюзу OpenClaw, подбирает его пароль без ограничений по частоте и незаметно регистрируется как доверенное устройство благодаря неявному доверию к localhost. После аутентификации злоумышленник получает полный контроль над агентом ИИ, его доступными данными и функциями.
Больший радиус поражения
В отличие от обычных программных уязвимостей, скомпрометированные агенты ИИ имеют больший радиус поражения, поскольку они хранят конфиденциальные ключи API, токены сеансов, доступ к файловой системе и полномочия на выполнение задач в корпоративных инструментах.
Барр подчеркнул, что автономные системы «агрегируют личность, учетные данные и полномочия рабочего процесса», что означает, что сбой не происходит тихо. Вместо этого агент выполняет действия «с полными полномочиями пользователя, со скоростью машины и в масштабе машины». В средах разработки это может включать изменение репозиториев кода, доступ к внутренним системам или запуск автоматизированных процессов.
Сороко описал сам браузер как неожиданный вектор атаки, фактически обходящий физический периметр разработчика и «превращающий простую фоновую вкладку в эффективный отмычку». Oasis отметила, что команда OpenClaw отреагировала быстро, скоординировав раскрытие информации и выпустив исправление (OpenClaw v2026.2.25 или новее) в течение 24 часов. Однако эксперты предостерегают, что одного быстрого исправления может быть недостаточно для устранения более широких архитектурных рисков. Они отметили, что организации, развертывающие агентов ИИ, должны внедрять более строгую аутентификацию, явное одобрение пользователем сопряжения сеансов, ограничение частоты запросов, ограничение области действия учетных данных и поведенческий мониторинг.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma