Критические уязвимости в OpenClaw позволяют получить полный контроль над системами

В мире искусственного интеллекта, где модели всё чаще получают возможность напрямую взаимодействовать с операционными системами и выполнять команды, безопасность инструментов-посредников становится критически важной. Новости об уязвимостях в подобном программном обеспечении должны привлекать самое пристальное внимание, ведь они угрожают не просто утечкой данных, а полным компрометированием инфраструктуры. Недавно исправленные критические недостатки в агенте OpenClaw, получившие максимальные оценки опасности, стали яркой иллюстрацией этой угрозы. Они позволяли любому пользователю с минимальными правами моментально превратиться в администратора всей системы, открывая дорогу для удалённого выполнения кода и тотального контроля.

Детали уязвимостей

Основное внимание привлекла уязвимость, зарегистрированная под идентификатором CVE-2026-32922. Она была обнаружена в версиях OpenClaw до 2026.3.11. Проблема заключалась в функции "device.token.rotate", предназначенной для обновления токенов доступа устройств. Однако механизм содержал фундаментальную ошибку контроля прав, известную как CWE-266 - некорректное назначение привилегий. Конкретно, функция не проверяла, что вновь создаваемые токены должны ограничиваться набором прав, уже имеющихся у вызывающей стороны. В результате пользователь или устройство, обладающие лишь привилегиями на сопряжение ("operator.pairing"), могли сгенерировать для себя токен с правами администратора ("operator.admin"). Это классический пример вертикального повышения привилегий, когда злоумышленник из низкоуровневого пользователя превращается в полновластного хозяина системы.

Эксперты по кибербезопасности оценили эту уязвимость на максимальные 9.9 баллов по шкале CVSS 3.1. Такая высокая оценка обусловлена совокупностью факторов: атака может быть проведена удалённо через сеть, не требует от атакующего специальных условий или взаимодействия с пользователем, а её последствия носят катастрофический характер для всей системы. Получив права администратора, злоумышленник получает возможность использовать такие функции OpenClaw, как "system.run", для выполнения произвольных команд на подключённых узлах. Фактически, это приводит к удалённому выполнению кода, что является одной из самых серьёзных угроз в информационной безопасности. Кроме того, атакующий может получить несанкционированный доступ на уровне администратора шлюза, что открывает доступ к управлению всей сетевой инфраструктурой, связанной с OpenClaw.

Примечательно, что за несколько дней до публикации деталей CVE-2026-32922 в OpenClaw была обнаружена и устранена ещё одна, очень похожая уязвимость - CVE-2026-33579. Она также позволяла обходить проверки прав доступа и повышать привилегии до уровня администратора. Совместное появление двух критических уязвимостей в одном продукте за короткий срок указывает на системные проблемы в архитектуре контроля доступа. Исследователи, изучавшие проблему, приводят тревожную статистику: в открытом доступе в интернете найдено около 135 тысяч экземпляров OpenClaw. Что ещё более опасно, 63% из них, то есть примерно 85 тысяч систем, позволяют подключиться без какой-либо аутентификации. Это означает, что для эксплуатации уязвимости злоумышленнику даже не нужно обладать учётными данными - достаточно обнаружить такой экземпляр в сети.

Контекст этой ситуации выходит за рамки единичного бага в коде. OpenClaw позиционируется как агент, позволяющий моделям искусственного интеллекта взаимодействовать с системным окружением - запускать утилиты, работать с файлами и управлять процессами. Подобные инструменты, по сути, предоставляют ИИ "руки" для воздействия на реальный мир внутри цифровой среды. Уязвимости в таком звене цепочки безопасности особенно опасны. Они создают риск не только традиционных кибератак, но и потенциального злоупотребления со стороны самих ИИ-агентов, если их действия будут скомпрометированы или перенаправлены. Вредоносный код, получивший контроль через OpenClaw, может манипулировать данными, останавливать критичные сервисы, устанавливать программы-вымогатели или использовать ресурсы системы для своих целей, например, для майнинга криптовалюты.

Последствия успешной эксплуатации таких уязвимостей для бизнеса и государственных организаций могут быть разрушительными. Полный контроль над агентом, имеющим доступ к системным командам, равносилен компрометации сервера или рабочей станции, на которой он работает. Это может привести к масштабным утечкам конфиденциальной информации, полной остановке производственных или бизнес-процессов, финансовым потерям из-за простоев и затрат на восстановление, а также к репутационному ущербу. Для компаний, которые интегрируют подобные ИИ-агенты в свои автоматизированные конвейеры обработки данных или системы управления, инцидент может парализовать ключевые операции.

В свете произошедшего, рекомендации для специалистов по информационной безопасности очевидны, но оттого не менее важны. В первую очередь, необходимо немедленно обновить все экземпляры OpenClaw до версии 2026.3.11 или выше, в которой обе уязвимости устранены. Во-вторых, критически важно пересмотреть конфигурацию развёртывания. Практика запуска подобных систем без аутентификации в публичной сети должна быть полностью исключена. Следует применять принцип минимальных привилегий, изолировать сетевой доступ к OpenClaw с помощью брандмауэров и сегментации сети, а также регулярно проводить аудит логов на предмет подозрительной активности, такой как множественные запросы на генерацию токенов или попытки выполнения привилегированных команд. Между тем, данный инцидент служит ещё одним напоминанием для разработчиков сложных распределённых систем и ИИ-инструментов о необходимости тщательного проектирования и тестирования подсистем авторизации и аутентификации с самого начала жизненного цикла продукта, поскольку ошибки на этом уровне сводят на нет все остальные защитные механизмы.

Детали уязвимостей

Ссылки