360 интеллектуальные агенты обнаружили критическую уязвимость в OpenClaw, затронувшую по всему миру 170000 экземпляров

Мультиагентная система для совместного поиска уязвимостей, принадлежащая China 360 Digital Security Group, обнаружила в инструменте AI-агента OpenClaw одну уязвимость с высоким уровнем опасности. Уязвимость подтверждена Национальной базой данных по уязвимостям информационной безопасности Китая (CNNVD). Уязвимость затрагивает более 170 000 общедоступных экземпляров в более чем 50 странах и регионах по всему миру. Злоумышленники могут обойти все политики безопасности платформенных инструментов, имея лишь базовое членское право в групповом чате, и напрямую похищать чувствительную информацию серверов.

Суть уязвимости: структурный изъян протокола MEDIA

Исследователи 360 Security назвали эту уязвимость «Уязвимость протокола MEDIA: prompt-инъекция, обход прав инструментов и утечка локальных файлов». Ее опасность обусловлена фундаментальным изъяном в архитектурном проектировании OpenClaw.

Протокол MEDIA работает на уровне постобработки вывода, находясь после механизма контроля стратегий инструментов платформы, поэтому он может полностью обходить все ограничения на вызовы инструментов. Это означает, что даже если администратор явно отключил все вызовы инструментов в OpenClaw, злоумышленник все равно может воспользоваться этой уязвимостью, имея лишь базовое членское право в групповом чате — без любой специальной авторизации — и напрямую похищать чувствительные локальные файлы сервера.

Этот конструктивный дефект «обход уровня постобработки» делает традиционные стратегии защиты на основе белых списков инструментов полностью неэффективными. Злоумышленники могут использовать автоматизированные инструменты для проведения масштабной сканирующей атаки на 170 000 раскрытых экземпляров по всему миру, и при этом — возможно — использовать ее как исходную точку для последующего вторжения.

Глобальный всплеск OpenClaw и ситуация с внедрением в Китае

OpenClaw был опубликован в открытый доступ австрийским инженером Peter Steinberger в ноябре 2025 года. Это бесплатная программа-агент AI, которая может отправлять команды через приложения для обмена мгновенными сообщениями, такие как WhatsApp, чтобы автономно управлять компьютерными приложениями, веб-браузерами и устройствами «умного дома». Ниже приведены ключевые данные о текущем внедрении по всему миру:

Масштаб пользователей из Китая — №1 в мире: согласно анализу SecurityScorecard из Нью-Йорка, активная пользовательская база Китая — примерно вдвое больше, чем у занимающих второе место США

Быстрое формирование коммерческой экосистемы: на китайских технологических платформах появились услуги по установке и настройке OpenClaw, цена — от 7 до 100 долларов США

Локализованные производные версии: вслед за ними выходят китайские кастомные версии вроде DuClaw, QClaw, ArkClaw и других

Поддержка за счет государственных субсидий: во многих регионах местные органы власти пообещали субсидии компаниям, внедряющим виртуальных ассистентов

Масштаб угрозы безопасности: более 50 стран по всему миру и свыше 170 000 общедоступных экземпляров OpenClaw также сталкиваются с этой угрозой уязвимости

Двойное предупреждение от организаций: синхронный ответ со стороны служб безопасности и государственных баз уязвимостей

До того как 360 раскрыла эту уязвимость, две государственные структуры кибербезопасности Китая заранее выпустили предупреждение, указав, что развертывание OpenClaw несет «существенный риск», включая возможные сценарии удаленного управления и утечки данных. Также были опубликованы подробные рекомендации по безопасности, охватывающие от личных пользователей до предприятий и поставщиков облачных услуг.

Официальное подтверждение CNNVD означает, что эта угроза безопасности перешла от режима предупреждений к проверяемой активной поверхности атак. Исследователи отметили, что поскольку затронутые экземпляры доступны публично, а также из‑за низкого порога входа через групповые чаты, осуществимость крупномасштабных автоматизированных атак крайне высока, поэтому быстрое исправление становится первоочередной задачей, требующей немедленного приоритета.

Часто задаваемые вопросы

Почему уязвимость протокола MEDIA в OpenClaw особенно опасна?

Протокол MEDIA работает на уровне постобработки вывода, находясь после контроля стратегий инструментов платформы. Он может полностью обходить все настроенные правила запрета для инструментов. Даже если администратор отключил все вызовы инструментов, злоумышленник может использовать эту уязвимость: достаточно прав базового участника в групповом чате, чтобы напрямую читать чувствительные локальные файлы сервера, из-за чего традиционные политики безопасности инструментов полностью перестают действовать.

Как в срочном порядке должны реагировать затронутые экземпляры OpenClaw?

До выпуска официального патча рекомендуется принять следующие меры экстренного смягчения: ограничить прямое публичное интернет-размещение экземпляров OpenClaw; приостановить связанные с протоколом MEDIA функции; внедрить строгий контроль аутентификации для доступа участников группового чата; постоянно отслеживать аномальные действия по доступу к чувствительным каталогам серверов.

Как эта уязвимость влияет на среду OpenClaw для предприятий и государственных развертываний?

Официальное подтверждение CNNVD означает, что уязвимость обладает высокой степенью достоверности осуществимости атак. Для компаний, которые уже развернули OpenClaw в производственных средах (включая тех, кто использует внедренцев, получающих субсидии местных органов власти Китая), требуется немедленно провести аудит безопасности, оценить фактическую степень экспонирования утечки данных, особенно в тех экземплярах, где открыта функция группового чата и протокол MEDIA находится во включенном состоянии.