Эксперты предупреждают: реальная угроза OpenClaw - это открытая инфраструктура, а не искусственный интеллект

По данным на момент публикации, в открытом доступе в интернете находятся более 40 тысяч инсталляций OpenClaw. Из них около 15,2 тысяч уязвимы к эксплуатации уязвимостей удалённого выполнения кода (RCE, Remote Code Execution), что позволяет злоумышленникам получить полный контроль над хост-машиной. Более 53 тысяч развёрнутых экземпляров коррелируют с данными о прошлых утечках, что указывает на системные проблемы безопасности в инфраструктуре их размещения.

«Риск заключается не в том, что говорит агент, а в том, что ему разрешено делать после того, как злоумышленник получит к нему доступ», - отмечают эксперты STRIKE. В отличие от традиционных веб-приложений, компрометация ИИ-агента предоставляет атакующему не только данные, но и механизм для выполнения действий от имени жертвы с легитимным доступом. Это превращает автоматизацию в мультипликатор угроз.

Основная проблема кроется в небезопасных настройках по умолчанию. Фреймворк OpenClaw по умолчанию привязывается ко всем сетевым интерфейсам ("0.0.0.0:18789"), открывая панель управления в публичный интернет, вместо использования локального хоста ("127.0.0.1"). Многие пользователи не меняют эти настройки, оставляя системы открытыми. Кроме того, наблюдается опасная фрагментация версий: только 22% инсталляций используют актуальное название «OpenClaw Control», в то время как 78% работают под старыми именами «Clawdbot» или «Moltbot», что часто означает использование уязвимых версий, выпущенных до критических патчей.

Среди выявленных уязвимостей - три критические (CVE) с высокими баллами по шкале CVSS (от 7.8 до 8.8), для которых уже существуют публичные эксплойты. Например, CVE-2026-25253 позволяет выполнить удалённый код через одну кликнутую жертвой ссылку. Несмотря на доступность исправлений, большинство систем их не установили.

Экспозиция сконцентрирована в крупных облачных провайдерах, таких как Alibaba Cloud (37,5% инсталляций) и Tencent Cloud (48,9%), что указывает на легко тиражируемые небезопасные шаблоны развёртывания. Затронуты организации из различных секторов, включая технологии, телекоммуникации, финансовые услуги, здравоохранение и государственный сектор.

Для снижения рисков эксперты рекомендуют пользователям немедленно обновить OpenClaw до версии 2026.2.1 или новее, привязать сервис к localhost, использовать туннели с нулевым доверием (например, Tailscale или Cloudflare Tunnel) вместо прямого открытия портов и заменить все API-ключи. Командам безопасности советуют внести ИИ-агенты в реестр активов, заблокировать порт 18789 на периметре сети и обновить модели угроз с учётом компрометации подобных систем.

Инцидент с OpenClaw является тревожным индикатором для всей индустрии. Стремительное внедрение агентного ИИ, способного действовать автономно, опережает развитие соответствующих практик кибербезопасности. По умолчанию эти системы получают доступ к файлам, командам и сетевым ресурсам, который для традиционных приложений потребовал бы тщательной проверки. Без должного контроля доступов автоматизация превращается в концентратор риска, привлекающий злоумышленников, которые уже следуют проверенному пути эксплуатации удобства, настроек по умолчанию и массового масштабирования.

Favicon fingerprinting

• 087361307be2b2789849d4fd58170cca
• 37102fddfbca1e750b61943162b15004
• 63e9707b978b7569f26636e9a9bb3b14
• 75661cbf8fd50009be0c46a9ca8b3180
• f58854f6450618729679ad33622bebaf