Исследователи безопасности обнаружили критическую уязвимость "ClawJacked" в популярном ИИ-агенте OpenClaw. Она позволяла вредоносному сайту незаметно подобрать пароль к локальному экземпляру через WebSocket на localhost и захватить контроль, получая доступ к файлам и командам. — bleepingcomputer.com
Исследователи безопасности раскрыли критическую уязвимость под кодовым названием “ClawJacked” в популярном ИИ-агенте OpenClaw, которая позволяла вредоносному веб-сайту незаметно подбирать пароль для доступа к локально запущенному экземпляру и захватывать над ним контроль.
Компания Oasis Security обнаружила эту проблему и сообщила о ней разработчикам OpenClaw; исправление было выпущено в версии 2026.2.26 26 февраля.
OpenClaw — это платформа с открытым исходным кодом, размещаемая на собственных серверах, которая в последнее время набрала популярность благодаря возможности автономно отправлять сообщения, выполнять команды и управлять задачами через различные платформы.
По данным Oasis Security, уязвимость вызвана тем, что сервис шлюза OpenClaw по умолчанию привязывается к `localhost` и предоставляет интерфейс WebSocket.
Поскольку политики безопасности браузеров, касающиеся междоменных запросов (cross-origin policies), не блокируют WebSocket-соединения с `localhost`, вредоносный веб-сайт, посещенный пользователем OpenClaw, может использовать JavaScript для скрытого открытия соединения с локальным шлюзом и попытки аутентификации без каких-либо предупреждений.
Хотя OpenClaw включает ограничение частоты запросов для предотвращения атак методом перебора, адрес обратного вызова (loopback address, 127.0.0.1) по умолчанию исключен из этого ограничения, чтобы локальные сеансы CLI не блокировались по ошибке.
Исследователи обнаружили, что они могут подбирать управляющий пароль OpenClaw со скоростью сотен попыток в секунду, при этом неудачные попытки не замедлялись и не логировались. Как только правильный пароль угадан, злоумышленник может незаметно зарегистрировать себя как доверенное устройство, поскольку шлюз автоматически одобряет сопряжение устройств с `localhost` без подтверждения пользователя.
“В нашем лабораторном тестировании мы достигли устойчивой скорости в сотни попыток подбора пароля в секунду, используя только JavaScript из браузера”, — объясняет Oasis.
“С такой скоростью список распространенных паролей исчерпывается менее чем за секунду, а большой словарь будет проверен всего за несколько минут. Пароль, выбранный человеком, не имеет шансов”.
Имея аутентифицированную сессию и права администратора, злоумышленник может напрямую взаимодействовать с ИИ-платформой: извлекать учетные данные, просматривать список подключенных узлов, красть секреты и читать журналы приложения.
Oasis заявляет, что это может позволить злоумышленнику дать агенту команду искать конфиденциальную информацию в истории сообщений, извлекать файлы с подключенных устройств или выполнять произвольные команды оболочки на сопряженных узлах, что фактически приводит к полному компрометации рабочей станции, инициированному из вкладки браузера.
Oasis поделилась демонстрацией этой атаки, показав, как ее можно использовать для кражи конфиденциальных данных через уязвимость OpenClaw.
Oasis сообщила о проблеме разработчикам OpenClaw, предоставив технические детали и код доказательства концепции, и она была исправлена в течение 24 часов после раскрытия.
Исправление усиливает проверки безопасности WebSocket и добавляет дополнительные меры защиты, чтобы не дать злоумышленникам злоупотреблять локальными соединениями обратного вызова для подбора логинов или перехвата сессий, даже если эти соединения настроены так, чтобы быть исключенными из ограничения частоты запросов.
Организациям и разработчикам, использующим OpenClaw, следует немедленно обновиться до версии 2026.2.26 или новее, чтобы предотвратить захват своих установок.
Учитывая огромную популярность OpenClaw, исследователи безопасности сосредоточились на выявлении уязвимостей и атак, нацеленных на эту платформу.
Было замечено, что злоумышленники злоупотребляют репозиторием навыков OpenClaw “ClawHub” для продвижения вредоносных навыков, которые развертывают вредоносное ПО для кражи данных или обманом заставляют пользователей выполнять вредоносные команды на своих устройствах.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams