Более месяца специалисты по безопасности предупреждают об опасностях использования OpenClaw — вирусного инструмента AI агента, который произвел фурор в сообществе разработчиков. Недавно исправленная уязвимость служит прекрасным уроком того, почему.

OpenClaw, представленный в ноябре и получивший 347 000 звезд на Github, по замыслу берет под контроль компьютер пользователя и взаимодействует с другими приложениями и платформами для выполнения различных задач, включая организацию файлов, исследования и покупки в интернете. Чтобы быть полезным, ему нужен доступ — и много его — к как можно большему количеству ресурсов. Telegram, Discord, Slack, локальные и общие сетевые файлы, учетные записи и активные сеансы — это лишь некоторые из предполагаемых ресурсов. После предоставления доступа OpenClaw разработан для действия точно так же, как пользователь, с теми же широкими разрешениями и возможностями.

Серьезное воздействие

На этой неделе разработчики OpenClaw выпустили патчи безопасности для трех уязвимостей высокой серьезности. Степень серьезности одной из них, CVE-2026-33579, оценивается от 8,1 до 9,8 из 10 возможных в зависимости от используемого показателя — и не без причины. Она позволяет любому с привилегиями сопряжения (разрешение самого низкого уровня) получить статус администратора. При этом злоумышленник получает контроль над любыми ресурсами, к которым имеет доступ экземпляр OpenClaw.

«Практическое воздействие серьезно, — написали исследователи из конструктора AI приложений Blink. — Злоумышленник, уже имеющий разрешение operator.pairing (разрешение самого низкого уровня в развертывании OpenClaw), может бесшумно одобрить запросы на сопряжение устройства, запрашивающие разрешение operator.admin. После такого одобрения атакующее устройство получает полный административный доступ к экземпляру OpenClaw. Дополнительный эксплойт не требуется. Никакого взаимодействия пользователя не требуется, кроме как на начальном этапе сопряжения.»

Сообщение продолжалось: «Для организаций, использующих OpenClaw в качестве платформы корпоративного AI агента, скомпрометированное устройство с разрешением operator.admin может читать все подключенные источники данных, украсть учетные данные, хранящиеся в среде навыков агента, выполнять произвольные вызовы инструментов и переходить к другим подключенным сервисам. Выражение «повышение привилегий» преуменьшает масштаб проблемы: результатом является полный захват экземпляра.»

Хотя уязвимость исправлена, она означает, что тысячи экземпляров могли быть скомпрометированы без малейшего представления пользователей об этом.

С тех пор как OpenClaw стал вирусной сенсацией, специалисты по безопасности предупреждают об опасностях, связанных с тем, что LLM — по своей природе ненадежный и склонный к самым элементарным ошибкам — получает доступ к такому огромному количеству чувствительных ресурсов и действует автономно. ранее в этом году один из руководителей Meta сказал, что приказал своей команде держать OpenClaw подальше от рабочих ноутбуков, иначе они будут уволены. Руководитель сказал, что непредсказуемость инструмента может привести к нарушениям безопасности даже в защищенных окружениях. Другие менеджеры издали аналогичные приказы. Исследователи безопасности также выпустили предупреждения.

Добавляя к обеспокоенности, патчи были выпущены в воскресенье, но не получили официальное присвоение CVE до вторника. Это означает, что бдительные злоумышленники имели двухдневное преимущество для эксплуатации еще до того, как большинство пользователей OpenClaw узнали о необходимости установки патча.

Повышая вероятность активной эксплуатации, Blink сообщил, что 63 процента из 135 000 экземпляров OpenClaw, обнаруженных открытыми в интернете при сканировании ранее в этом году, работали без аутентификации. В результате злоумышленники уже имели привилегии сопряжения, необходимые для получения административного контроля без требования учетных данных.

«В этих развертываниях любой сетевой посетитель может запросить доступ к сопряжению и получить разрешение operator.pairing без ввода имени пользователя или пароля, — сказал Blink. — Врата аутентификации, которые должны замедлить CVE-2026-33579, не существуют.»

Уязвимость возникла из-за невозможности OpenClaw применить любую аутентификацию при запросе административного сопряжения. Функция основного одобрения — src/infra/device-pairing.ts — не проверяла разрешения безопасности утверждающей стороны, чтобы убедиться, что у нее есть привилегии, необходимые для предоставления запроса. Пока запрос на сопряжение был правильно сформирован, он одобрялся.

Рекомендация предположить компрометацию хорошо обоснована. Любой, кто использует OpenClaw, должен тщательно проверить все события одобрения /pair, перечисленные в журналах активности за последнюю неделю. Кроме того, пользователи должны пересмотреть свое использование OpenClaw в целом. Любая эффективность, которая может быть получена от использования инструмента, может быть легко сведена на нет в случае, если субъект угрозы получит ключи к сетевому королевству.