Исследователи Oasis Security раскрыли серьезную уязвимость в OpenClaw, получившую название ClawJacked. Ошибка в шлюзовом сервисе позволяла вредоносному сайту незаметно подключаться к локальному экземпляру OpenClaw, брутфорсить пароль администратора и полностью перехватывать управление. Уязвимость устранена в версии 2026.2.26, выпущенной 26 февраля, и всем пользователям настоятельно рекомендуется обновиться.
OpenClaw: стремительно растущий self-hosted ИИ‑ассистент и его риски
OpenClaw — это self-hosted опенсорсный ИИ‑ассистент, позволяющий автономным ИИ‑агентам отправлять сообщения, выполнять команды и управлять задачами на разных платформах. С момента запуска в ноябре 2025 года проект стал крайне популярен в сообществе разработчиков и специалистов по автоматизации, набрав более 240 000 звёзд на GitHub.
Такие системы часто получают широкий доступ к инфраструктуре: к учетным данным, API‑ключам, корпоративным мессенджерам, CI/CD, серверам и рабочим станциям. Поэтому компрометация OpenClaw фактически равна компрометации всей среды, где он развернут, что делает уязвимость ClawJacked особенно опасной.
Как работает уязвимость ClawJacked в OpenClaw
Ключевым элементом архитектуры OpenClaw является шлюзовый сервис, который по умолчанию слушает на localhost (127.0.0.1) и предоставляет WebSocket‑интерфейс. Это распространенный подход для локальных агентских систем: интерфейс доступен только с той же машины и, на первый взгляд, кажется изолированным.
Однако браузерная модель безопасности устроена так, что политика ограничения кросс‑доменных запросов (Same-Origin Policy) не блокирует WebSocket‑соединения к localhost. В результате любой сайт, открытый пользователем в браузере, может при помощи JavaScript попытаться установить ws‑соединение с локальным сервисом на 127.0.0.1, если угадает порт и протокол.
Брутфорс без ограничений через loopback
В OpenClaw были реализованы защитные механизмы от брутфорса, но loopback‑адрес 127.0.0.1 был исключен из этих ограничений, чтобы не мешать локальным CLI‑сессиям разработчиков и администраторов. Именно эта особенность превратилась в точку входа для атаки ClawJacked.
Вредоносный сайт, открытый пользователем, мог выполнять JavaScript‑код, устанавливать WebSocket‑соединение с локальным шлюзом OpenClaw и начинать подбор пароля администратора со скоростью сотни попыток в секунду — без троттлинга, капчи и даже без логирования подозрительной активности.
По оценке исследователей, такой режим позволяет «прогнать» список самых распространенных паролей за доли секунды, а крупные словари — за минуты. На практике это означает, что человеческий пароль средней сложности против такой атаки практически не имеет шансов, особенно если он повторно используется и уже фигурировал в утечках.
От подбора пароля к полному захвату OpenClaw
После успешного подбора пароля атакующий мог зарегистрировать свое устройство как доверенное. В OpenClaw шлюз по умолчанию автоматически одобрял сопряжение с localhost без дополнительного подтверждения со стороны пользователя, что упрощало эскалацию привилегий.
С административным доступом злоумышленник получал практически полный контроль над OpenClaw: просмотр и кражу учетных данных, список подключенных узлов, логи приложений, содержимое задач и сообщений.
Более того, имея такие права, атакующий мог инструктировать ИИ‑агента:
- искать и выгружать конфиденциальные данные из истории диалогов;
- получать файлы с подключенных устройств;
- выполнять произвольные shell‑команды на сопряженных хостах.
Фактически атака ClawJacked приводила к полной компрометации рабочей станции (а в корпоративной среде — и части инфраструктуры) через одну вкладку браузера. Исследователи опубликовали демонстрацию PoC‑атаки, подтверждающую реализуемость сценария.
Реакция разработчиков OpenClaw и выпущенное исправление
Oasis Security передали команде OpenClaw подробное техническое описание уязвимости ClawJacked и PoC‑код по процедуре ответственного раскрытия. Разработчики отреагировали оперативно: патч был подготовлен и выпущен менее чем за 24 часа в составе релиза 2026.2.26.
Согласно описанию изменений, обновление усиливает проверки безопасности WebSocket‑соединений и вводит дополнительные механизмы защиты от злоупотребления loopback‑подключениями для брутфорса и перехвата сессий. В частности, ужесточена аутентификация локальных соединений и переработаны лимиты попыток входа, включая запросы с 127.0.0.1.
Рекомендации по защите self-hosted ИИ‑ассистентов
Пользователям OpenClaw настоятельно рекомендуется незамедлительно обновиться до версии 2026.2.26 или новее, особенно если экземпляр используется в рабочей или корпоративной среде.
Дополнительно стоит выполнить следующие шаги по повышению безопасности:
- сменить пароль администратора на длинную уникальную passphrase и не использовать пароли из прошлых утечек;
- по возможности ограничить доступ к шлюзу OpenClaw (например, через firewall или отдельный профиль браузера, который не используется для повседневного серфинга);
- отслеживать логи аутентификации и подозрительные попытки подключения даже с localhost;
- по‑минимуму выдавать ИИ‑агентам лишние права и ключи доступа, придерживаясь принципа наименьших привилегий.
Инцидент с ClawJacked демонстрирует, что локальные сервисы на localhost не являются автоматически безопасными, особенно если к ним обращается браузер пользователя. По мере распространения self-hosted ИИ‑ассистентов организациям важно пересматривать модель угроз, учитывать риск атак через WebSocket и localhost и регулярно обновлять такие системы. Чем раньше вы встроите безопасность в архитектуру ИИ‑агентов, тем меньше шансов, что следующая уязвимость превратит ваш помощник в инструмент атакующего.
