У self-hosted ІІ‑асистенті OpenClaw виявлено критичну уразливість, що отримала назву ClawJacked. Дефект у шлюзовому сервісі дозволяв зловмисному сайту з браузера жертви підключатися до локального екземпляра OpenClaw, масово перебирати пароль адміністратора й у результаті повністю захоплювати систему. Розробники вже випустили виправлення у версії 2026.2.26 від 26 лютого, а всім користувачам рекомендується терміново оновитися.
OpenClaw як self-hosted ІІ‑асистент: зручність автоматизації і нові вектори атак
OpenClaw позиціонується як self-hosted опенсорс‑платформа ІІ‑агентів, яка дозволяє автоматизованим помічникам надсилати повідомлення, запускати команди та керувати робочими процесами на різних системах. З моменту релізу в листопаді 2025 року проєкт стрімко набрав популярність, зібравши понад 240 000 зірок на GitHub, що робить його одним із наймасовіших рішень у своєму класі.
Подібні платформи зазвичай мають широкі права доступу: до облікових записів, API‑ключів, корпоративних месенджерів, CI/CD‑систем, серверів і робочих станцій. Тому компрометація OpenClaw майже автоматично означає компрометацію всієї інфраструктури, де він розгорнутий. На цьому тлі уразливість ClawJacked має особливу критичність, адже перетворює зручного ІІ‑асистента на точку входу в мережу.
Технічна сутність уразливості ClawJacked в OpenClaw
Архітектурним ядром OpenClaw є шлюзовий сервіс, який за замовчуванням слухає інтерфейс localhost (127.0.0.1) і надає WebSocket‑API для взаємодії з ІІ‑агентами. Такий підхід типовий для локальних систем, що керуються з тієї ж машини: вважається, що доступ ззовні відсутній, а значить — ризики мінімальні.
Однак модель безпеки браузера має важливу особливість: політика Same-Origin Policy не блокує WebSocket‑з’єднання до localhost. Якщо користувач відкриває веб‑сторінку, її JavaScript‑код може спробувати встановити WebSocket‑сесію з будь‑яким локальним сервісом на 127.0.0.1 за умови вгаданих порту й протоколу. Цей клас атак відомий у фаховій спільноті як «localhost/loopback exploitation» і вже неодноразово згадувався у рекомендаціях OWASP для WebSocket‑додатків.
Loopback без обмежень: ідеальне середовище для brute force
У OpenClaw були реалізовані механізми захисту від брутфорсу, проте адреса 127.0.0.1 була виключена з системи лімітів, щоб не заважати локальним CLI‑інструментам адміністраторів. Саме це виняткове правило стало ключовою ланкою атаки ClawJacked.
Зловмисний сайт, відкритий у браузері користувача, міг виконати JavaScript‑код, підключитися через WebSocket до локального шлюзу OpenClaw і розпочати перебір пароля адміністратора зі швидкістю сотні спроб за секунду. При цьому не спрацьовували обмеження швидкості, не вимагалась CAPTCHA і навіть не фіксувалася аномальна активність у журналах безпеки.
З огляду на сучасні словники найпоширеніших паролів і доступність баз витоків облікових даних, такий режим дозволяє перевірити типовий список «топ‑паролів» за долі секунди, а великі словники — за кілька хвилин. Практично це означає, що звичайний «людський» пароль середньої складності виявляється беззахисним перед такою атакою, особливо якщо він повторно використовується і раніше вже потрапляв до публічних зливів (що, за даними багатьох звітів з кібербезпеки, характерно для більш ніж половини користувачів).
Від пароля до повного контролю над ІІ‑агентами та інфраструктурою
Після успішного підбору пароля атакуючий отримував можливість зареєструвати свій клієнт як довірений. За замовчуванням шлюз OpenClaw автоматично схвалював сполучення з localhost без додаткового підтвердження з боку користувача, що спрощувало подальшу ескалацію привілеїв.
Маючи адміністративний доступ, зловмисник отримував практично необмежений контроль над екземпляром OpenClaw: перегляд і експорт облікових даних, інформації про підключені вузли, журналів, вмісту задач і діалогів із користувачами. Далі ІІ‑агент міг бути використаний як інструмент атаки:
- автоматизований пошук і витік конфіденційних даних із історії взаємодій;
- завантаження файлів з підключених робочих станцій та серверів;
- виконання довільних shell‑команд на довірених хостах, включно з CI/CD‑середовищем і внутрішніми сервісами.
У результаті ClawJacked фактично дозволяла повністю скомпрометувати робочу станцію користувача, а в корпоративному сценарії — й помітну частину інфраструктури, причому достатньо було лише відкриття однієї вкладки в браузері. Дослідники підкріпили свої висновки публічним PoC, що демонструє практичну здійсненність атаки.
Реакція розробників OpenClaw та суть виправлення у версії 2026.2.26
Команда Oasis Security повідомила про ClawJacked розробникам OpenClaw за процедурою відповідального розкриття, надавши детальний технічний опис і працюючий proof‑of‑concept. Розробники відреагували оперативно: патч був підготовлений і випущений менш ніж за 24 години у складі релізу 2026.2.26.
За описом змін, оновлення посилює валідацію WebSocket‑підключень і вводить додаткові захисні механізми проти зловживання loopback‑адресою. Зокрема, переглянуто аутентифікацію локальних сесій, уніфіковано ліміти спроб входу (включно з запитами з 127.0.0.1) та додано покращене логування підозрілої активності. Такий підхід відповідає сучасним рекомендаціям щодо захисту WebSocket‑сервісів, де localhost більше не вважається «достатньою» межею безпеки.
Рекомендації з кібербезпеки для користувачів OpenClaw та інших self-hosted ІІ‑асистентів
Усім власникам інсталяцій OpenClaw необхідно якнайшвидше оновитися до версії 2026.2.26 або новішої, особливо якщо система експлуатується в робочому чи корпоративному середовищі та має доступ до критичних ресурсів.
Крім оновлення, варто реалізувати такі заходи безпеки:
- Посилити аутентифікацію: замінити пароль адміністратора на довгу унікальну парольну фразу, перевірити її відсутність у відомих витоках (haveibeenpwned‑подібні сервіси) та не використовувати її повторно на інших платформах.
- Обмежити доступ до шлюзу OpenClaw: ізолювати інтерфейс через firewall, VPN або виділений браузерний профіль, який не застосовується для повсякденного веб‑серфінгу.
- Моніторити журнали подій: регулярно аналізувати логіни, спроби підключення й аномальну активність, включно з запитами з 127.0.0.1.
- Дотримуватися принципу найменших привілеїв: надавати ІІ‑агентам лише ті права та ключі доступу, які дійсно потрібні для виконання задач, мінімізуючи можливий збиток у разі компрометації.
Інцидент із ClawJacked наочно демонструє, що локальні сервіси на localhost не можна вважати автоматично захищеними, особливо коли до них потенційно може звертатися браузер користувача через WebSocket. Із поширенням self-hosted ІІ‑асистентів організаціям варто переглянути свої моделі загроз, явно враховувати ризики localhost‑атак і вбудовувати безпеку в архітектуру ІІ‑агентів із перших етапів проєктування. Чим раніше будуть запроваджені ці підходи, тим нижча ймовірність того, що чергова уразливість перетворить корисного цифрового помічника на інструмент атакувальника.
