Банк данных угроз безопасности информации (BDU) опубликовал сведения о критической уязвимости, затрагивающей плагин Nextcloud Talk для ИИ-агента OpenClaw. Проблема получила идентификатор BDU:2026-06171, а также номер CVE-2026-28474 в международном реестре уязвимостей. Суть в том, что злоумышленник может удалённо обойти механизмы авторизации и получить полный контроль над сервером. Уровень опасности оценён как критический: базовые оценки по шкале CVSS (международной системе оценки критичности уязвимостей) достигают 10 по версии 2.0, 9,8 по версии 3.1 и 9,3 по версии 4.0. Это означает, что атака может быть проведена без каких-либо учётных данных, без взаимодействия с пользователем и без особых сложностей.
Детали уязвимости
Nextcloud - одна из самых популярных платформ для корпоративного обмена файлами и совместной работы. Её используют и небольшие компании, и госструктуры, и образовательные учреждения. Плагин Talk добавляет функции видеозвонков и чата, а ИИ-агент OpenClaw (ранее известный как ClawdBot или MoltBot) автоматизирует ответы и обработку запросов. Если в этой цепочке появляется уязвимость, под удар попадают все организации, которые внедрили такую связку. Угроза касается не только самих пользователей Nextcloud, но и всей инфраструктуры, которая с ним интегрирована.
Уязвимость обнаружили и подтвердили 20 января 2026 года. Она относится к категории неправильной авторизации (CWE-863 - это международная классификация типов ошибок безопасности). Проще говоря, система некорректно проверяет, кто именно отправляет запрос и имеет ли он на это право. В результате нарушитель, действуя удалённо, может выдать себя за любого другого пользователя или даже администратора. Вектор атаки описан как “нарушение авторизации”, а техническая реализация, судя по данным разработчиков, связана с подменой отображаемого имени (Display Name) при отправке сообщений в чат. ИИ-агент OpenClaw обрабатывает такие сообщения и, из-за недочёта в фильтрации, принимает подставное имя как разрешённое и выполняет команды злоумышленника.
Чтобы понять масштаб, нужно знать, как устроен плагин Nextcloud Talk. Он использует списки разрешённых пользователей (allowlist), чтобы ИИ-агент отвечал только тем, кому это разрешено. Уязвимость позволяет обойти этот список: атакующий может задать отображаемое имя, совпадающее с именем из белого списка, и бот не отличит его от реального легитимного сотрудника. Это классический приём спуфинга - подмена данных, но в данном случае он крайне опасен. Поскольку оценка CVSS 4.0 показывает полную компрометацию конфиденциальности и целостности данных на атакованном сервере, при этом никак не затрагивая соседние системы (оценка SC:N, SI:N, SA:N), последствия полностью лежат на самом сервере Nextcloud. Однако этого достаточно: злоумышленник может извлечь все файлы, удалить или изменить их, получить доступ к переписке, а также использовать сервер как точку входа для атак на внутреннюю сеть организации.
Последствия возможны самые серьёзные. Захват контроля над учётной записью ИИ-агента даёт нарушителю прямой канал для выполнения команд. Он может отправлять от имени бота вредоносную нагрузку, то есть вредоносные команды или скрипты, которые будут выполнены на сервере. В худшем сценарии это приводит к полному закреплению в системе (persistence) - когда злоумышленник скрытно сохраняет доступ даже после обновления. Более того, поскольку ИИ-агенты часто обладают повышенными привилегиями в архитектуре Nextcloud (чтобы обрабатывать запросы от всех пользователей), ущерб от такой уязвимости многократно возрастает. Для предприятия это может означать остановку работы, утечку персональных данных, финансовые потери и репутационный риск.
Что касается практических мер, то разработчик уже выпустил исправление. Уязвимость устранена в версии OpenClaw 2026.2.3 и выше. Соответствующие коммиты опубликованы на GitHub. Всем администраторам Nextcloud, которые используют плагин Talk с агентами OpenClaw, настоятельно рекомендуется обновить программное обеспечение до указанной версии. Более того, стоит пересмотреть политики разрешений для ИИ-агентов: не давать ботам прав больше необходимых. Также полезно включить дополнительную аутентификацию для выполнения критических команд - например, требовать подтверждение через второй фактор или административную консоль. Кроме того, стоит обратить внимание на любые подозрительные сообщения от имени уже известных пользователей, особенно если в них содержатся ссылки или команды.
Таким образом, эта уязвимость - очередное напоминание, что даже надёжные корпоративные системы могут дать сбой в точке стыка разных компонентов. ИИ-агенты, безусловно, ускоряют работу, но одновременно открывают новую поверхность атаки, которую злоумышленники активно изучают. Именно поэтому сообщества разработчиков, как в случае с OpenClaw, реагируют быстро. Хорошая новость в том, что официальное обновление уже доступно, и теперь дело за администраторами - установить его и проверить, не было ли уже зафиксировано подозрительной активности. Но в любом случае стоит помнить: если бот неожиданно запрашивает нестандартные действия, лучше уточнить у службы поддержки, не является ли это ложным срабатыванием или атакой. Бдительность, как всегда, остаётся главной защитой.
Ссылки
- https://bdu.fstec.ru/vul/2026-06171
- https://www.cve.org/CVERecord?id=CVE-2026-28474
- https://github.com/openclaw/openclaw/security/advisories/GHSA-r5h9-vjqc-hq3r
- https://github.com/openclaw/openclaw/commit/6b4b6049b47c3329a7014509594647826669892d
- https://www.vulncheck.com/advisories/openclaw-nextcloud-talk-allowlist-bypass-via-actorname-display-name-spoofing
- https://github.com/openclaw/openclaw/commit/660f87278c9f292061e097441e0b10c20d62b31b
