Вокруг проекта OpenClaw (ранее известного как ClawdBot и Moltbot), призванного упростить работу пользователей с ИИ-агентами, продолжают выявляться критические уязвимости. На этот раз исследователи продемонстрировали цепочку эксплоитов, позволяющую удалённое выполнение кода (RCE) на машине жертвы всего в один клик, а также сообщили об отдельной проблеме с открытым доступом к базе данных социальной сети Moltbook для ИИ-агентов.
Критическая уязвимость OpenClaw: RCE через один клик и WebSocket
Исследователь Мав Левин (Mav Levin), основатель группы DepthFirst и бывший инженер Anthropic, опубликовал детальный отчёт о цепочке атак на OpenClaw, приводящей к RCE. По его данным, компрометация занимает миллисекунды и требует от пользователя минимального действия — простого перехода по вредоносной ссылке в браузере с запущенным и уязвимым OpenClaw.
Ключевая проблема связана с отсутствием проверки заголовка WebSocket Origin на серверной стороне. Сервер OpenClaw принимал WebSocket-подключения с любого источника, что открыло путь для атаки типа cross-site WebSocket hijacking. Специально подготовленная веб-страница могла исполнить JavaScript в контексте браузера жертвы, извлечь токен аутентификации, установить WebSocket-соединение с сервером OpenClaw и пройти авторизацию от имени пользователя.
Как работает цепочка атак до RCE
После успешного захвата WebSocket-сессии вредоносный скрипт получал возможность взаимодействовать с сервером OpenClaw как «легитимный» клиент. По данным Левина, эксплойт выполнял ряд шагов: отключал песочницу (sandbox) и механизмы дополнительного подтверждения опасных команд, а затем отправлял запрос node.invoke для выполнения произвольного кода на машине пользователя. Это фактически превращало браузерный клик по ссылке в полноценное удалённое выполнение кода, что относится к высшему уровню критичности в классификации уязвимостей.
Команда разработки OpenClaw оперативно отреагировала и выпустила публичный бюллетень безопасности, подтверждающий устранение уязвимости. Исследователь ИБ Джеймисон О’Рейли (Jamieson O’Reilly), ранее сообщавший о других проблемах в OpenClaw и впоследствии присоединившийся к проекту, публично поблагодарил Левина и призвал специалистов по безопасности продолжать ответственно раскрывать найденные баги.
Moltbook: социальная сеть ИИ-агентов и ошибка конфигурации базы данных
Практически одновременно с публикацией отчёта об RCE в OpenClaw, О’Рейли сообщил о другой серьёзной проблеме — на этот раз в Moltbook, связанной с OpenClaw социальной платформе для ИИ-агентов. Moltbook, разработанный Мэттом Шлихтом (Matt Schlicht) преимущественно с использованием подхода вайбкодинга, по функционалу напоминает Reddit, но ориентирован исключительно на взаимодействие ИИ-агентов без прямого участия людей.
Пользователи OpenClaw могут подключать своих агентов (например, помощников для чтения и сортировки почты) к Moltbook и наблюдать за их «жизнью» в онлайне. За короткое время существования платформы агенты успели участвовать в обсуждениях, создавать «религии» и даже инициировать обсуждения о гипотетическом восстании ИИ против людей, хотя есть подозрение, что значительная часть контента генерируется реальными пользователями.
Открытая БД и утечка секретных API-ключей
С точки зрения кибербезопасности критичным стал не сам контент, а то, что доступ к базе данных Moltbook оказался открыт из интернета. О’Рейли несколько часов пытался связаться с разработчиком после того, как обнаружил не только открытый доступ к данным, но и утечку секретных API-ключей. Подобная ошибка конфигурации — частая причина инцидентов, по статистике она регулярно фигурирует в отчётах по утечкам данных в облачных средах.
По его словам, злоумышленник мог публиковать сообщения от имени любого ИИ-агента на платформе, включая агентов известных персон в индустрии ИИ. Среди примеров — агент Андрея Карпати (Andrej Karpathy) из Eureka Labs, экс-директора по ИИ Tesla и сооснователя OpenAI, который привязал своего личного агента к Moltbook. Компрометация такого агента открывает путь к масштабным фишинговым кампаниям, дезинформации и манипуляциям, включая фейковые заявления об ИИ-безопасности, криптоскамы и политические провокации от имени авторитетного голоса.
Предполагается, что в основе инцидента лежала некорректная настройка опенсорсного ПО базы данных. Хотя Мэтт Шлихт публично ситуацию не комментировал, по информации О’Рейли уязвимость была закрыта после уведомления.
Что означают эти инциденты для безопасности ИИ-платформ
Обе истории — с одномоментным RCE в OpenClaw и открытой БД Moltbook — иллюстрируют типичную проблему быстро растущих ИИ-сервисов: функциональность развивается быстрее, чем процессы безопасной разработки (Secure SDLC). Игнорирование базовых практик, таких как проверка Origin для WebSocket, жёсткая конфигурация БД по принципу «по умолчанию закрыто» и безопасное хранение API-ключей, приводит к критическим рискам для пользователей и их ИИ-агентов.
Для разработчиков ИИ-платформ и владельцев агентных систем можно выделить несколько практических рекомендаций:
- жёстко проверять заголовок Origin для WebSocket и ограничивать допустимые источники;
- использовать принципы least privilege для сервисов и агентов, минимизируя последствия компрометации;
- хранить секретные API-ключи в специализированных хранилищах секретов, а не в открытых конфигурациях БД;
- проводить регулярные аудиты безопасности, пентесты и поощрять ответственные сообщения об уязвимостях (bug bounty);
- внедрять DevSecOps-практики, автоматизируя проверку конфигураций и зависимостей.
Инциденты с OpenClaw и Moltbook показывают, насколько уязвимы экосистемы ИИ-агентов при нарушении базовых принципов кибербезопасности. Чем сильнее растёт влияние ИИ-платформ и цифровых агентов на коммуникации, финансы и принятие решений, тем важнее системно инвестировать в их защиту. Пользователям и разработчикам стоит внимательнее относиться к настройкам безопасности, своевременно обновлять ПО и следить за публикациями исследователей ИБ — это зачастую единственный способ вовремя узнать о критических «дырах» до того, как ими воспользуются злоумышленники.
