Исследователи кибербезопасности зафиксировали первый подтвержденный случай кражи конфигурационных файлов ИИ-агента OpenClaw. Эти файлы содержат API-ключи, токены аутентификации и криптографические ключи, то есть данные, которые фактически открывают доступ к «внутреннему миру» персонального ИИ-ассистента пользователя.
Что такое OpenClaw и почему он так привлекателен для атак
OpenClaw (ранее известный как ClawdBot и MoltBot) — это локально устанавливаемый фреймворк для запуска ИИ-агентов. Он хранит постоянную конфигурацию и «память» на устройстве пользователя, имеет доступ к локальным файлам, может интегрироваться с почтовыми клиентами, мессенджерами и внешними сервисами. Благодаря этим возможностям проект набрал более 200 000 звезд на GitHub, а его создатель Питер Штайнбергер был приглашен в OpenAI.
Именно сочетание глубокой интеграции в повседневные процессы и хранения чувствительных данных делает OpenClaw с точки зрения кибербезопасности высокорисковым объектом. Ранее эксперты не раз предупреждали, что подобные ИИ-агенты могут стать приоритетной целью для инфостилеров — вредоносных программ, специализирующихся на краже учетных данных, cookie и конфиденциальных файлов.
Инцидент с Vidar: как был украден конфиг OpenClaw
По данным компании Hudson Rock, исследующей утечки данных, конфигурация OpenClaw была похищена у одного из пользователей стилером семейства Vidar. Инцидент датируется 13 февраля 2026 года. Этот кейс стал первым задокументированным случаем реальной утечки конфигурационных файлов OpenClaw в результате массированной инфостилер-атаки.
Показательно, что Vidar не имел специально прописанного модуля для OpenClaw. Вредонос действовал по стандартному сценарию: сканировал файловую систему в поисках документов, в названии или содержимом которых встречаются ключевые слова вроде «token» и «private key». Каталог .openclaw оказался подходящим кандидатом и был автоматически добавлен в набор похищаемых файлов.
Hudson Rock отмечает, что это важный рубеж в эволюции инфостилеров: от кражи браузерных паролей и cookie злоумышленники переходят к компрометации целостной цифровой идентичности через персональных ИИ-агентов.
Какие файлы OpenClaw были украдены и чем они опасны
Openclaw.json: токен аутентификации и базовая идентификация
Один из похищенных файлов — Openclaw.json. Он содержит замаскированный email-адрес владельца, путь к рабочей директории и токен аутентификации шлюза с высокой энтропией. Такой токен потенциально позволяет злоумышленнику подключиться к локальному инстансу OpenClaw или выдавать себя за легитимного клиента при выполнении аутентифицированных запросов.
Device.json: криптографические ключи устройства
Особую ценность для атакующего представляет файл Device.json с полями publicKeyPem и privateKeyPem. Эти ключи используются для привязки устройства и подписи сообщений. Получив приватный ключ, злоумышленник может:
— подписывать запросы от имени устройства жертвы;
— обходить проверки механизмов наподобие Safe Device;
— получать доступ к зашифрованным логам и облачным сервисам, связанным с данным устройством.
Soul.md и файлы памяти: поведение ИИ и личный контекст
Также были скомпрометированы файлы Soul.md, AGENTS.md и MEMORY.md. Они описывают поведение агента и содержат устойчивый контекст: историю взаимодействий, фрагменты переписки, рабочие заметки, события календаря и другой персональный контент. По сути, это «психологический профиль» и рабочий дневник пользователя в структурированном виде.
Суммарно такой набор данных достаточен для полной компрометации цифровой личности: от имперсонации в сервисах до качественных таргетированных фишинговых атак и социального инжиниринга.
Почему атаки на ИИ-агентов будут усиливаться
OpenClaw — лишь один из примеров локальных ИИ-фреймворков, которые быстро входят в рабочие процессы компаний и частных пользователей. По мере роста популярности таких решений злоумышленники будут:
— добавлять специализированные сигнатуры ИИ-агентов в наборы инфостилеров;
— целенаправленно охотиться за каталогами конфигураций и файлами памяти;
— использовать украденные токены и ключи для скрытных долговременных атак (Lateral Movement, доступ к почте, хранилищам, корпоративным чатам).
Для киберпреступников ИИ-агент — это концентратор ценнейших данных: он «видит» больше, чем отдельный мессенджер или браузер, и сохраняет сведения в удобном для анализа формате.
Рекомендации по защите ИИ-агентов и конфигурационных файлов
Чтобы снизить риск компрометации OpenClaw и аналогичных решений, имеет смысл реализовать несколько базовых мер:
— Жесткая защита конечных точек: актуальный антивирус, EDR/EDR-класс решений, контроль запуска исполняемых файлов, регулярное обновление ОС и ПО — основной барьер против инфостилеров вроде Vidar.
— Минимизация и сегментация секретов: хранить только необходимые токены и ключи, отделять рабочие и личные конфигурации, по возможности использовать отдельные профили или виртуальные машины для ИИ-агентов.
— Шифрование и защита конфигов: по возможности размещать конфигурационные файлы в зашифрованных контейнерах, ограничивать права доступа к каталогам .openclaw и аналогичным директориям.
— Регулярная ротация ключей и токенов: даже при утечке это сокращает окно возможностей для атакующего.
— Контроль интеграций: внимательно оценивать, к каким почтовым, облачным и корпоративным сервисам получает доступ ИИ-агент, и применять принцип наименьших привилегий.
Инцидент с кражей конфигурации OpenClaw демонстрирует, что ИИ-агенты уже стали полноценной целью для киберпреступников. По мере того как интеллектуальные помощники глубже встраиваются в бизнес-процессы и повседневную жизнь, безопасность ИИ-инфраструктуры должна рассматриваться наравне с защитой почты, браузеров и мобильных устройств. Организациям и частным пользователям стоит пересмотреть свои практики работы с ИИ и заранее выстроить защиту конфигураций, ключей и памяти агентов, пока атаки на эту новую поверхность не стали массовыми.
