Специалисты по кибербезопасности зафиксировали опасную уязвимость в программном обеспечении OpenClaw - ИИ-агенте, ранее известном под названиями ClawdBot или MoltBot. Проблема получила идентификатор BDU:2026-05649 в Банке данных угроз безопасности информации (BDU) и CVE-2026-24763 в международной системе CVE. Уязвимость относится к типу CWE-78 - непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы. Простыми словами, нарушитель может внедрить вредоносные команды через специально сформированные запросы.
Детали уязвимости
Уязвимость затрагивает все версии OpenClaw до 2026.1.29 включительно. Разработчики из сообщества свободного программного обеспечения уже подтвердили проблему и выпустили исправление в версии v2026.1.29. Согласно бюллетеню безопасности, эксплуатация возможна удалённо при условии, что у злоумышленника есть базовые права на взаимодействие с ИИ-агентом.
Базовый вектор уязвимости по шкале CVSS 3.1 выглядит как AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Это означает, что атака не требует физического доступа к оборудованию, сложность низкая, а для успешного внедрения нужна лишь учётная запись с минимальными привилегиями. При этом взаимодействие пользователя не требуется. Результатом становится полная компрометация системы: нарушитель может читать, изменять или удалять любые данные, а также выполнять произвольный код с правами процесса ИИ-агента.
Оценка опасности максимальная - 8,8 баллов из 10 по версии CVSS 3.1. По старой шкале CVSS 2.0 показатель достигает 9 баллов. Такой уровень квалифицируется как высокий. Отметим, что данные о наличии публичного эксплойта пока уточняются, но сама техника атаки - инъекция в операционную систему - хорошо известна и активно используется в реальных кампаниях.
Проблема кроется в отсутствии должной фильтрации входных данных. ИИ-агент, будучи инструментом для разработки и автоматизации, может обрабатывать команды из различных источников. Если злоумышленник передаёт агенту специально сформированную строку, содержащую системные команды, OpenClaw передаёт их операционной системе без проверки. Это открывает путь к эксплуатации: достаточно отправить запрос, содержащий вредоносную исполняемую нагрузку (payload), чтобы получить контроль над хостом.
Пандемия подобных атак на ИИ-агенты растёт: злоумышленники всё чаще нацеливаются на инструменты, которые имеют доступ к командной оболочке. Примеры включают уязвимости в решениях для чат-ботов, ассистентов и средств разработки. OpenClaw не стал исключением.
Разработчики рекомендовали немедленное обновление до версии 2026.1.29. Патч закрывает вектор внедрения команд путём усиления валидации входных строк. Кроме того, в коммите 771f23d36b95ec2204cc9a0054045f5d8439ea75 добавлены новые проверки для всех точек входа, где агент принимает данные из сети. Также выпущено соответствующее предупреждение в репозитории GitHub.
Администраторам систем, где используется OpenClaw, стоит как можно быстрее применить обновление. Если по каким-то причинам апгрейд пока невозможен, необходимо изолировать сервер с ИИ-агентом от внешней сети либо настроить строгие правила межсетевого экрана для ограничения доступа только доверенными IP-адресами. Также полезно внедрить систему обнаружения вторжений (IDS) для мониторинга подозрительных команд в трафике.
Уязвимость подтверждена не только производителем, но и независимыми исследователями. Хотя официальных отчётов о массовой эксплуатации пока нет, риск остаётся высоким. Специалисты по кибербезопасности рекомендуют включить данное обновление в план первоочередных действий. Игнорирование патча может привести к созданию постоянной точки доступа (persistence) для злоумышленников, особенно если ИИ-агент работает с повышенными привилегиями.
OpenClaw применяется в различных проектах машинного обучения и автоматизации. Его уязвимость - очередное напоминание о том, что инструменты, обрабатывающие пользовательский ввод и исполняющие системные команды, должны проектироваться с учётом принципа наименьших привилегий. Разработчикам стоит пересмотреть архитектуру подобных решений и предусмотреть обязательную санитацию входных данных на всех этапах.
В целом текущий инцидент укладывается в тренд 2025-2026 годов: рост числа атак на ИИ-агенты и платформы для их разработки. Каждая новая уязвимость класса "command injection" может быть использована в цепочке для проникновения в корпоративные сети. Поэтому оперативное обновление - не рекомендация, а необходимость.
Ссылки
- https://bdu.fstec.ru/vul/2026-05649
- https://www.cve.org/CVERecord?id=CVE-2026-24763
- https://github.com/openclaw/openclaw/security/advisories/GHSA-mc68-q9jw-2h3v
- https://github.com/openclaw/openclaw/releases/tag/v2026.1.29
- https://github.com/openclaw/openclaw/commit/771f23d36b95ec2204cc9a0054045f5d8439ea75
