Уязвимость OpenClaw позволяла любому сайту захватывать AI-агентов разработчиков
Исследователи из Oasis Security обнаружили критическую цепочку уязвимостей в популярном автономном AI-агенте OpenClaw, которая могла позволить злоумышленному сайту полностью взять под контроль локально запущенного AI-ассистента — без плагинов, расширений или прямого взаимодействия с пользователем.
OpenClaw - открытая автономная платформа AI-агента, быстро набравшая популярность среди разработчиков благодаря своей способности управлять сообщениями, автоматизировать рабочие процессы и выполнять действия от имени пользователя. Агента обычно запускают локально на ноутбуках и рабочих станциях, где он взаимодействует с мессенджерами и сервисами, используя токены и пароли для аутентификации.
Уязвимость, названная ClawJacked, позволяла JavaScript-коду на вредоносном веб-сайте установить WebSocket-соединение с локальным OpenClaw-сервером, подобрать пароль и зарегистрировать вредоносный клиент как доверенное устройство. После этого злоумышленник мог получить полный контроль над агентом, используя легитимные токены и исполняя действия от его имени. Эксплуатация не требовала установки вредоносного ПО ни на самой машине жертвы.
Ключевой проблемой стала архитектурная допущение OpenClaw: локальные WebSocket-соединения считались безопасными по умолчанию, а проверка пароля и автоматическое одобрение локальных клиентов не обеспечивали адекватной защиты.
Компания OpenClaw оперативно отреагировала на отчёт Oasis Security и выпустила исправление в версии 2026.2.26. Исследователи настоятельно рекомендуют всем пользователям обновить агент до этой или более поздней версии, чтобы устранить потенциальную точку компрометации.
Эксперты предупреждают, что такие автономные AI-агенты, как OpenClaw, хотя и автоматизируют ряд задач, становятся новой поверхностью для атак: они сочетают выполнение кода, авторизацию и долговременное хранение данных, что значительно расширяет атакуемую площадь локальных и корпоративных систем при отсутствии жестких мер изоляции и ограничений прав доступа.
Теги:
похожие материалы
GitHub начал «проваливаться» в России: разработчики жалуются на доступ к репозиториям
В России фиксируют рост проблем с доступом к GitHub - крупнейшей платформе для хранения кода и совместной разработки IT-проектов.
Суд запретил шутки, но РКН не понял, какие именно
Чертановский суд Москвы запретил материалы на трех юмористических сайтах, включая «ЯПлакалъ», «Анекдотов стрит» и «Анекдото.
Аккаунты исчезают вместе с архивами: Claude добрался до российских пользователей
Российские пользователи Claude начали массово жаловаться на блокировку аккаунтов.
Эксперты предупредили о «серых» сайтах, которые могут привести к потере денег и данных
«Лаборатория Касперского» в новом отчёте рассказывает о так называемых «серых» сайтах — ресурсах, которые не относятся к классическим фишинговым, но всё чаще используются для обмана пользователей.
UserGate вошел в топ-5 российских ИТ‑компаний — лидеров технологического развития России
Компания UserGate заняла пятое место среди пятидесяти ведущих российских компаний — лидеров технологического развития страны, работающих в индустрии информационных технологий(ИТ).
«Газинформсервис» — лидер рейтинга АЦ «Эксперт» по сотрудничеству с университетами
Компания «Газинформсервис» заняла первое место в рейтинге ИТ-компаний — лидеров по сотрудничеству с университетами по итогам исследования аналитического центра «Эксперт».
ИИ-агенты будут влиять на выручку бизнеса
По прогнозу IBM и Oxford Economics, к 2030 году главным риском для компаний станет не возможность ошибки, а излишняя осторожность.
Банковский троян научили писать знакомым жертвы от ее имени
Elastic Security Labs обнаружила новый бразильский банковский троян TCLBANKER.
Dirty Frag раскрыли раньше срока: Linux-системы получили риск локального захвата root
В Linux досрочно раскрыли уязвимость Dirty Frag, которая позволяет локальному пользователю повысить привилегии до root на основных дистрибутивах.
