Новое исследование предупреждает, что Openclaw сталкивается с системным крахом безопасности после того, как исследователи обнаружили критические уязвимости, расширения, зараженные вредоносным ПО, и риски prompt injection, которые позволяют злоумышленникам похищать данные или захватывать системы.
Ложность «доверенной среды»
Исследование от 31 марта компании Web3 по безопасности Certik раскрыло картину «системного краха» границ безопасности внутри Openclaw — платформы для искусственного интеллекта (AI) с открытым исходным кодом. Несмотря на ее быстрое восхождение и достижение более 300,000 звезд на GitHub, за всего четыре месяца фреймворк накопил более 100 CVE и 280 рекомендаций по безопасности, создавая, как называют исследователи, «неограниченную» поверхность атаки.
В отчете отмечается фундаментальный архитектурный изъян: изначально Openclaw проектировали для «доверенных локальных сред». Однако по мере того, как популярность платформы резко выросла, пользователи начали развертывать ее на серверах, доступных из интернета — переход, с которым программное обеспечение никогда не было рассчитано справляться.
Согласно тексту отчета исследования, исследователи выявили несколько точек отказа с высоким риском, которые ставят под угрозу данные пользователей, включая критическую уязвимость CVE-2026-25253, позволяющую злоумышленникам захватить полный контроль уровня администратора. Обманув пользователя, заставив его кликнуть по одной вредоносной ссылке, хакеры могут похитить токены аутентификации и угнать AI-агента.
Тем временем глобальные сканирования выявили более 135,000 экземпляров Openclaw, доступных из интернета, в 82 странах. У многих из них аутентификация была отключена по умолчанию, из-за чего в открытом виде утекали ключи API, истории чатов и чувствительные учетные данные. В отчете также утверждается, что репозиторий платформы с пользовательскими «навыками», которыми делятся, был внедрен вредоносным ПО, и сотни этих расширений были обнаружены в том, что они включают инфостилеры, предназначенные для перехвата сохраненных паролей и криптокошельков.
Кроме того, злоумышленники теперь прячут вредоносные инструкции внутри писем и веб-страниц. Когда AI-агент обрабатывает эти документы, его можно заставить эксфильтровать файлы или выполнять несанкционированные команды без ведома пользователя.
«Openclaw стал примером того, что происходит, когда большие языковые модели перестают быть изолированными чат-системами и начинают действовать в реальных средах», — сказал ведущий аудитор из Penligent. «Он агрегирует классические дефекты программного обеспечения в среде выполнения с высокой делегированной властью, из-за чего область поражения от любой единственной ошибки становится огромной».
Меры по снижению рисков и рекомендации по безопасности
В ответ на эти выводы эксперты настоятельно призывают применять подход «безопасность прежде всего» как разработчикам, так и конечным пользователям. Для разработчиков исследование рекомендует с первого дня формировать формальные модели угроз, применять строгую изоляцию в песочнице и обеспечивать, чтобы любой порожденный AI подпроцесс наследовал только низкоприоритетные, неизменяемые права.
Для корпоративных пользователей командам безопасности рекомендуют использовать инструменты обнаружения и реагирования на конечных устройствах (EDR), чтобы находить несанкционированные установки Openclaw в корпоративных сетях. С другой стороны, индивидуальным пользователям советуют запускать инструмент исключительно в среде песочницы, без доступа к данным производственной среды. Самое главное: пользователи должны обновиться до версии 2026.1.29 или более поздней, чтобы исправить известные уязвимости удаленного выполнения кода (RCE).
Хотя разработчики Openclaw недавно объединились с Virustotal, чтобы сканировать загруженные навыки, исследователи Certik предупреждают, что это «не панацея». Пока платформа не перейдет к более стабильной фазе безопасности, отраслевой консенсус состоит в том, чтобы считать это ПО изначально недоверенным.
FAQ ❓
- Что такое Openclaw? Openclaw — это платформа AI с открытым исходным кодом, которая быстро выросла до 300,000+ звезд на GitHub.
- Почему это рискованно? Его построили для доверенного локального использования, но теперь широко развертывают онлайн, из-за чего проявляются серьезные недостатки.
- Какие угрозы существуют? Критические CVE, расширения, зараженные вредоносным ПО, и 135,000+ экземпляров, доступных в интернете, в 82 странах.
- Как пользователям оставаться в безопасности? Запускайте только в песочницах и обновляйтесь до версии 2026.1.29 или более поздней.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
