Четыре уязвимости OpenClaw позволяют злоумышленникам красть данные, повышать привилегии и устанавливать задние двери через собственный песочницу агента.

      TL;DRЧетыре цепляемых уязвимости OpenClaw, названные «Claw Chain», позволяют злоумышленникам использовать песочницу агента. Патчи уже доступны.

      Исследователи в области кибербезопасности из Cyera раскрыли четыре уязвимости в OpenClaw, которые, будучи объединенными, позволяют злоумышленнику украсть конфиденциальные данные, повысить привилегии и установить постоянный контроль над скомпрометированным хостом. Уязвимости, собранные под общим названием «Claw Chain», затрагивают управляемую песочницу OpenShell OpenClaw и его среду выполнения MCP. Все четыре уязвимости были исправлены в версии OpenClaw 2026.4.22.

      Цепочка атак работает в четыре этапа. Сначала вредоносный плагин, инъекция команд или скомпрометированный внешний ввод получают выполнение кода внутри песочницы OpenShell. Во-вторых, две уязвимости, CVE-2026-44113 и CVE-2026-44115, эксплуатируются для раскрытия учетных данных, секретов и конфиденциальных файлов. В-третьих, CVE-2026-44118 используется для получения контроля на уровне владельца над средой выполнения агента, используя неправильно проверяемый флаг владения. В-четвертых, CVE-2026-44112, наиболее серьезная из четырех с оценкой CVSS 9.6, используется для установки задних дверей, изменения конфигурации и установления постоянного доступа вне песочницы.

      Наиболее архитектурно интересная уязвимость — это CVE-2026-44118, которая возникает из-за того, что OpenClaw доверяет флагу, контролируемому клиентом, под названием senderIsOwner, не проверяя его на соответствие аутентифицированной сессии. Любой клиент обратной связи, не являющийся владельцем, может выдать себя за владельца и получить контроль над конфигурацией шлюза, расписанием cron и управлением средой выполнения. Исправление, согласно уведомлению OpenClaw, включает в себя выдачу отдельных токенов владельца и не-владельца, при этом senderIsOwner теперь выводится исключительно из аутентификационного токена, а не из подделываемого заголовка.

      Две гонки TOCTOU (время проверки/время использования), CVE-2026-44112 и CVE-2026-44113, позволяют злоумышленникам обойти ограничения песочницы и перенаправить записи или чтения файлов за пределы предполагаемого корня монтирования. CVE-2026-44115 использует неполный список разрешенных действий, внедряя токены расширения оболочки внутри тела heredoc, что позволяет выполнять команды, которые в противном случае были бы заблокированы во время выполнения. 💜 технологий ЕС Последние новости из технологической сферы ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Что делает Claw Chain особенно тревожным, так это то, что каждый шаг выглядит как нормальное поведение агента для традиционных средств безопасности. «Используя привилегии агента против него самого, противник проходит через доступ к данным, повышение привилегий и постоянство, используя агента как свои руки внутри среды», — сказал Cyera. Атака увеличивает радиус поражения, одновременно значительно усложняя обнаружение, поскольку злонамеренные действия неотличимы от законных операций, которые агент предназначен выполнять.

      Это не первый раз, когда безопасность OpenClaw подвергается критике. В январе критическая уязвимость удаленного выполнения кода (CVE-2026-25253) позволила любому сайту, который посещал пользователь, бесшумно подключаться к локальному серверу агента через непроверенный WebSocket, связывая межсайтовый захват с полным выполнением кода. Аудит Koi Security ClawHub, рынка навыков OpenClaw, выявил 341 вредоносную запись из 2857 доступных навыков, с атаками, направленными на кражу учетных данных, открытие обратных оболочек и захват агентов для майнинга криптовалюты.

      Nvidia решила некоторые из этих структурных проблем безопасности в марте с помощью NemoClaw, корпоративного слоя, который добавляет оркестрацию песочницы, защитные меры конфиденциальности и усиление безопасности поверх OpenClaw. Продукт был создан в партнерстве с Cisco, CrowdStrike, Google и Microsoft Security. Но NemoClaw работает на уровне инфраструктуры, а не на уровне приложения, и уязвимости Claw Chain находятся внутри собственной реализации песочницы OpenClaw, что означает, что даже развертывания, защищенные NemoClaw, были бы затронуты до патча.

      Масштаб уязвимости значителен. OpenClaw имеет более 3,2 миллиона пользователей, интегрирован с подписками ChatGPT через OpenAI и был принят в качестве корпоративной платформы Nvidia (NemoClaw) и Tencent (ClawPro). Значительная часть установленной базы использует более старые, непатченные версии, и злоумышленники нацеливались на известные уязвимости в версиях до 2026.1.30 как минимум с февраля.

      Исследователь безопасности Владимир Токарев был отмечен за обнаружение и сообщение о проблемах. Пользователям рекомендуется немедленно обновиться до версии 2026.4.22. Более широкий урок заключается в том, что индустрия ИИ-агентов медленно усваивает: когда автономный агент имеет доступ к файлам, учетным данным, API и сетевым ресурсам, компрометация агента функционально эквивалентна компрометации пользователя. Традиционная периметровая безопасность не была разработана для мира, в котором наиболее привилегированным объектом внутри среды является программное обеспечение, выполняющее инструкции из внешних источников.

      Claw Chain вряд ли станет последним раскрытием уязвимости такого рода. Однако это может быть тем самым случаем, который заставит индустрию относиться к безопасности ИИ-агентов с той же строгостью, с которой она относится к операционным системам и облачной инфраструктуре, а не как к запоздалой мысли, прикрепленной к продукту, который никогда не был предназначен для того, чтобы быть таким важным.