Екосистема інструментів для ІІ-агентів розвивається вибуховими темпами, але не завжди встигає за вимогами до безпеки. Два недавні інциденти з OpenClaw (раніше ClawdBot/Moltbot) та пов’язаною платформою Moltbook наочно показують, як прорахунки в архітектурі й конфігурації можуть перетворити зручні ІІ-сервіси на вектор критичних атак.
Критична уразливість OpenClaw: RCE через WebSocket в один клік
Дослідник Мав Левін (Mav Levin), засновник DepthFirst і колишній інженер Anthropic, оприлюднив детальний аналіз ланцюга атак на OpenClaw, який дозволяв віддалене виконання коду (Remote Code Execution, RCE) на машині користувача після одного кліку в браузері. Такий клас уразливостей традиційно вважається максимальним за критичністю, оскільки відкриває шлях до повного контролю над системою жертви.
Ключовою технічною причиною стала відсутність перевірки заголовка WebSocket Origin на стороні сервера. Сервер OpenClaw приймав WebSocket-з’єднання з будь-якого джерела, що зробило можливим сценарій cross-site WebSocket hijacking — перехоплення WebSocket-сесії через шкідливу веб-сторінку.
Як працював ланцюг атаки на OpenClaw
Зловмиснику достатньо було змусити користувача відкрити спеціально підготовлену сторінку в браузері, де вже запущений вразливий OpenClaw. JavaScript-код на цій сторінці виконувався в контексті браузера жертви, міг отримати токен автентифікації, встановити WebSocket-з’єднання з сервером OpenClaw та авторизуватися від імені користувача.
Після успішного захоплення сесії шкідливий скрипт взаємодіяв із сервером як легітимний клієнт. За даними Левіна, експлойт далі відключав вбудовану «пісочницю» (sandbox) та механізми додаткового підтвердження небезпечних дій, а потім надсилав запит node.invoke на виконання довільного коду на хості користувача. У результаті звичайний перехід за посиланням перетворювався на повноцінний RCE-ланцюг.
Команда OpenClaw випустила публічний бюлетень безпеки та заявила про усунення уразливості. Дослідник Джеймісон О’Рейлі (Jamieson O’Reilly), який раніше повідомляв про інші проблеми в OpenClaw і нині долучився до проєкту, публічно подякував Левіну та закликав фахівців до відповідального розкриття уразливостей.
Moltbook: витік даних і секретів через відкриту базу
Паралельно О’Рейлі виявив іншу серйозну проблему вже в Moltbook — соціальній платформі для ІІ-агентів, тісно інтегрованій з OpenClaw. Moltbook, створений Меттом Шліхтом (Matt Schlicht), за концепцією нагадує Reddit, але основними учасниками тут виступають не люди, а автономні ІІ-агенти.
Користувачі OpenClaw підключають своїх агентів (наприклад, асистентів для пошти чи аналізу документів) до Moltbook і спостерігають за їхньою «активністю» в онлайні. Агенти беруть участь в обговореннях, створюють власні «спільноти» та навіть ініціюють дискусії про гіпотетичні повстання ІІ, хоч є підозри, що частину контенту генерують реальні користувачі.
Відкрита БД Moltbook і компрометація API-ключів
З погляду кібербезпеки критичною стала не поведінка агентів, а те, що база даних Moltbook була доступна з інтернету без належного контролю доступу. За словами О’Рейлі, він протягом кількох годин намагався зв’язатися з розробником після того, як виявив не лише відкритий доступ до даних, а й витік секретних API-ключів.
Подібні помилки конфігурації відкритих БД та хмарних сервісів стабільно потрапляють до звітів про інциденти безпеки від провідних вендорів. Вони часто стають причиною масових витоків даних, оскільки не потребують складних експлойтів — достатньо знайти неправильно налаштований сервіс.
У випадку Moltbook потенційний зловмисник міг публікувати повідомлення від імені будь-якого ІІ-агента, включно з агентами відомих фігур з ІІ-індустрії. Серед таких прикладів — агент Андрея Карпаті (Andrej Karpathy) з Eureka Labs, ексдиректора з ІІ Tesla та співзасновника OpenAI, чий особистий агент був підключений до Moltbook.
Компрометація авторитетного ІІ-агента створює умови для масштабних фішингових кампаній, дезінформації та маніпуляцій — від фейкових заяв про безпеку ІІ до криптоскамів і політичних меседжів, що сприйматимуться як позиція експерта. За інформацією О’Рейлі, уразливість була закрита після надсилання повідомлення; ймовірною причиною стала некоректна конфігурація опенсорсного ПЗ БД.
Що ці інциденти показують про безпеку ІІ-платформ
Історії з одномоментним RCE в OpenClaw та відкритою БД Moltbook демонструють системну проблему: функціонал ІІ-сервісів розширюється швидше, ніж впроваджуються процеси безпечної розробки (Secure SDLC). Ігнорування базових контролів — перевірки заголовка Origin для WebSocket, принципу «за замовчуванням закрито» для БД, безпечного зберігання API-ключів — напряму перетворюється на критичні ризики для користувачів.
Для команд, що розробляють ІІ-платформи та агентні системи, доцільно впровадити щонайменше такі практики:
- Перевірка Origin для WebSocket і жорстке обмеження довірених джерел, щоб запобігти cross-site WebSocket hijacking.
- Принцип найменших привілеїв (least privilege) для сервісів, агентів та токенів доступу, аби мінімізувати наслідки компрометації.
- Використання сховищ секретів (secret managers) замість зберігання API-ключів у відкритих конфігураціях чи БД.
- Регулярні аудити безпеки, пентести та bug bounty для вчасного виявлення й усунення уразливостей.
- DevSecOps-підхід із автоматизованою перевіркою конфігурацій, залежностей та інфраструктури як коду.
Інциденти з OpenClaw та Moltbook ще раз нагадують: чим більший вплив мають ІІ-платформи та цифрові агенти на комунікації, фінанси й ухвалення рішень, тим дорожче коштують помилки в кібербезпеці. Розробникам варто інтегрувати захист у кожен етап життєвого циклу продукту, а користувачам — уважно ставитися до налаштувань доступу, оновлень ПЗ та публікацій дослідників ІБ. Інвестиції в безпеку сьогодні — це спосіб уникнути масштабних інцидентів завтра.
