Нове дослідження попереджає, що Openclaw стикається із системним крахом безпеки після того, як дослідники виявили критичні вразливості, розширення, заражені шкідливим ПЗ, і ризики prompt injection, які дають атакувальникам змогу викрадати дані або перехоплювати системи.
Хибність «довіреного середовища»
Дослідження від 31 березня від веб3-компанії з безпеки Certik розкрило «системний крах» меж безпеки в Openclaw — відкритій платформі штучного інтелекту (AI). Незважаючи на її стрімкий зліт до понад 300,000 зірок на Github, фреймворк накопичив понад 100 CVE та 280 повідомлень про безпекові інциденти всього за чотири місяці, створюючи, як називають це дослідники, «необмежену» поверхню атаки.
У звіті висвітлено фундаментальний архітектурний недолік: спочатку Openclaw було розроблено для «довірених локальних середовищ». Однак у міру того, як популярність платформи різко зросла, користувачі почали розгортати її на серверах, доступних з інтернету — перехід, із яким програмне забезпечення ніколи не було розраховане працювати.
Згідно зі звітом дослідження, дослідники виявили кілька точок відмови з високим ризиком, які ставлять під загрозу дані користувачів, зокрема критичну вразливість, CVE-2026-25253, що дозволяє атакувальникам захопити повний адміністративний контроль. Підштовхнувши користувача клацнути лише одну шкідливу посилання, хакери можуть викрасти токени автентифікації та перехопити AI-агент.
Тим часом глобальні сканування виявили понад 135,000 екземплярів Openclaw, доступних з інтернету, у 82 країнах. У багатьох із них автентифікацію було вимкнено за замовчуванням, що призводило до витоку API-ключів, історій чатів і чутливих облікових даних у вигляді відкритого тексту. У звіті також стверджується, що репозиторій платформи для спільно використовуваних користувачами «skills» було інфільтровано шкідливим ПЗ, і було виявлено сотні таких розширень, які об’єднували інфостилери, призначені для викрадення збережених паролів і криптовалютних гаманців.
Крім того, атакувальники тепер приховують шкідливі інструкції в електронних листах і вебсторінках. Коли AI-агент обробляє ці документи, його можна змусити здійснити ексфільтрацію файлів або виконати несанкціоновані команди без відома користувача.
«Openclaw став кейсом того, що відбувається, коли великі мовні моделі перестають бути ізольованими чат-системами і починають діяти всередині реальних середовищ», — сказав провідний аудитор із Penligent. «Він агрегує класичні дефекти програмного забезпечення у середовище виконання з високими делегованими повноваженнями, через що “вибуховий радіус” будь-якої однієї помилки стає колосальним».
Заходи з пом’якшення та рекомендації з безпеки
У відповідь на ці висновки експерти закликають застосовувати підхід «безпека понад усе» як для розробників, так і для кінцевих користувачів. Для розробників дослідження рекомендує створювати формальні моделі загроз із самого першого дня, застосовувати сувору ізоляцію в пісочниці та гарантувати, що будь-який підпроцес, породжений AI, успадковує лише низькопривілейовані, незмінні дозволи.
Для корпоративних користувачів командам з безпеки рекомендують використовувати інструменти виявлення та реагування на кінцевих точках (EDR), щоб знаходити несанкціоновані інсталяції Openclaw у корпоративних мережах. З іншого боку, окремим користувачам радять запускати інструмент виключно в середовищі пісочниці без доступу до виробничих даних. Найголовніше: користувачі мають оновитися до версії 2026.1.29 або новішої, щоб виправити відомі вразливості віддаленого виконання коду (RCE).
Хоча розробники Openclaw нещодавно об’єдналися з Virustotal, щоб сканувати завантажені skills, дослідники Certik попереджають, що це «не панацея». Поки платформа не перейде до більш стабільної фази безпеки, консенсус у галузі полягає в тому, щоб вважати програмне забезпечення за своєю природою ненадійним.
FAQ ❓
- Що таке Openclaw? Openclaw — це відкритий фреймворк AI, який швидко виріс до 300,000+ зірок на GitHub.
- Чому це ризиковано? Його було створено для довіреного локального використання, але тепер його широко розгортають онлайн, через що відкриваються серйозні недоліки.
- Які загрози існують? Критичні CVE, розширення, заражені шкідливим ПЗ, і 135,000+ екземплярів, доступних з інтернету, у 82 країнах.
- Як користувачам залишатися в безпеці? Запускайте лише в ізольованих середовищах (пісочницях) і оновлюйтеся до версії 2026.1.29 або новішої.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
