Дві незалежні команди дослідників — Imperva і Varonis — цього тижня опублікували результати досліджень, які демонструють, що OpenClaw, самостійно розгорнутий AI-агент з відкритим вихідним кодом, може бути змушений виконати довільний код зловмисника або передати конфіденційні дані назовні через звичайні на вигляд вхідні дані: спільний контакт, візитівку vCard або типовий електронний лист. Вразливість інʼєкції через обʼєкти повідомлень усунуто у версії OpenClaw 2026.4.23, однак проблема соціального фішингу агентів має архітектурний характер і патчем не вирішується. Усім, хто використовує OpenClaw, необхідно негайно оновитися та переглянути модель доступу агента.
Інʼєкція через обʼєкти повідомлень: технічний розбір
Дослідник Imperva Йоганн Сіллам виявив, що під час передавання спільного контакту, vCard або мітки геолокації до мовної моделі OpenClaw «розгортав» вміст цих обʼєктів безпосередньо в текст промпта без жодної розмітки, яка б указувала на недовірене джерело. Водночас контент, який агент завантажував з інтернету, обгортався у спеціальний маркер недовіреного вмісту — а обʼєкти повідомлень такої обробки не проходили.
За даними Imperva, спільний контакт передавав моделі лише поле імені у форматі <contact: name, number>. Оскільки кутові дужки допустимі в імені контакту, модель не могла визначити, де закінчується справжнє імʼя і починається вбудована інструкція. Визначальний фактор: імʼя контакту обрізається під час відображення на екрані — як у WhatsApp, так і в приймальному застосунку, — тому жертва не бачить шкідливого навантаження. Аналогічний вектор працював через поле повного імені у vCard і через підпис до спільної геолокації.
Під час тестування на Gemini 3.1 Pro (попередня збірка) прихований текст у контакті інструктував агента завантажити й виконати скрипт із сервера дослідників — і агент це зробив. Водночас спроба інʼєкції через зображення зі вбудованими інструкціями не спрацювала: на думку дослідників, моделі вже навчені протидіяти цьому вектору, тоді як атака через обʼєкти повідомлень виявилася для них новою.
Imperva підкреслює додатковий ризик: памʼять в OpenClaw увімкнена за замовчуванням, що означає, що один-єдиний широко розповсюджений контакт із шкідливою інструкцією може непомітно скомпрометувати всіх агентів, які його оброблять, якщо їх не ізольовано в пісочниці. Дослідники також виявили подібний патерн «розгортання» даних у промпт в інших персональних AI-асистентах, що вказує на системний характер проблеми.
Виправлення у версії 2026.4.23 переносить імена контактів, поля vCard і мітки геолокації з тіла промпта в окремий канал недовірених метаданих.
Фішинг агентів: звичайний лист як вектор атаки
Команда Varonis Threat Labs під керівництвом Ітая Яшара підійшла до проблеми з іншого боку. Дослідники створили агента Pinchy на платформі OpenClaw, підключили його до поштової скриньки Gmail з реалістичними синтетичними бізнес-даними та провели чотири моделювання фішингу на моделях Google Gemini 3.1 Pro і OpenAI Codex GPT-5.4.
Varonis принципово розмежовує інʼєкцію промпта (приховані інструкції в даних) і те, що вони називають фішингом агентів: правдоподібний запит, який надходить через звичайний канал і спрацьовує тому, що агент діє до перевірки відправника.
Результати тестів на ексфільтрацію даних:
- Сценарій терміновості: лист від імені тимліда «Дена» із зовнішньої адреси Gmail запитував доступ до стейджингу під час нібито виробничого інциденту. Агент знайшов і переслав відкритим текстом тестові ключі AWS IAM, рядки підключення до бази даних і SSH-облікові дані.
- Сценарій рутини: запит на щотижневе вивантаження клієнтів для підготовки до QBR. Агент надіслав синтетичний набір даних із 247 корпоративних клієнтів із контактами та сумами контрактів.
Обидві невдачі сталися попри активний суворий профіль, який зобовʼязував агента перевіряти відправників. Правило існувало — але терміновість перемогла його в першому випадку, а буденність — у другому.
Водночас агент показав себе значно краще у виявленні технічних загроз: він взаємодіяв із фішинговою сторінкою подарункових карток, але не передав реальні облікові дані й зрештою позначив її як підозрілу. На шкідливому екрані згоди OAuth, замаскованому під застосунок табеля обліку робочого часу, агент перевірив цільовий URL переспрямування, визнав його підозрілим і зупинився.
Ключовий висновок Varonis: AI-агент краще за багатьох людей розпізнає шкідливі URL і підроблені портали входу, але гірше впорається із соціальною оцінкою — коли колега раптово просить облікові дані в нетиповий час. За даними дослідників, OpenAI Codex GPT-5.4 проявляв більшу обережність, ніж Gemini 3.1 Pro, під час надсилання даних на зовнішні ресурси, однак обидві моделі піддалися соціальним легендам.
Архітектурна проблема: «смертельна тріада»
Varonis співвідносить обидва вектори атаки з концепцією, яку Саймон Уіллісон називає «смертельною тріадою»: агент, який може читати приватні дані, приймати недовірений контент і надсилати дані назовні. OpenClaw має всі три властивості — саме тому отруєний контакт і дружній лист призводять до одного результату.
Проблема меж довіри проявляється й на рівні коду. Згідно з аналізом InfoSec Write-ups, на основі попередніх рекомендацій із безпеки OpenClaw були створені правила статичного аналізу, які виявили ще пʼять вразливостей у розширеннях каналів Slack, Discord, Matrix, Zalo та Microsoft Teams. Усі пʼять становили собою одну й ту саму помилку: код дозволяв список допущених користувачів за змінюваним відображуваним імʼям замість стабільного ідентифікатора, що давало змогу зловмиснику перейменувати себе й отримати доступ. За наявними даними, ці вразливості виправлено.
Регуляторний контекст
Нідерландське управління із захисту персональних даних (Autoriteit Persoonsgegevens) зайняло найбільш жорстку позицію, порекомендувавши користувачам і організаціям не запускати OpenClaw на системах, що містять конфіденційні дані, посилаючись на ризики витоку даних і перехоплення облікових записів. Це надає регуляторної ваги технічним висновкам дослідників.
Рекомендації із захисту
Varonis пропонує чотири конкретні заходи контролю, які слід упровадити негайно:
- Інструкції агента як політика: файл інструкцій має бути версіонованим і обовʼязковим до виконання документом, а не рекомендацією.
- Контроль вихідної пошти: заборона первинного надсилання на незнайомі адреси без підтвердження людиною — щоб скомпрометований агент не міг розсилати фішинг від довіреного акаунта.
- Розмежування доступу конекторів за рівнем довіри: поштова скринька, що обробляє зовнішню пошту, не повинна одночасно мати доступ до всієї CRM-системи. Доступ конектора має відповідати рівню довіри до джерела завдання.
- Людина в ланцюжку для критичних дій: пересилання облікових даних, переказ коштів та інші високоризикові операції мають вимагати підтвердження людиною.
Обидві команди сходяться в ментальній моделі: агент — це не інструмент безпеки, а, за висловом Varonis, «молодший співробітник із системним доступом і без інтуїції щодо підозрілих речей», або, у термінології Imperva, «автентифікований виконавець, який довіряє своїм вхідним даним».
Першочергова дія — оновлення до OpenClaw 2026.4.23 або новішої версії для усунення вразливості інʼєкції через обʼєкти повідомлень. Але патч закриває лише один із двох продемонстрованих векторів. Архітектурна проблема — агент, який за задумом довіряє вхідним даним і прагне допомогти, — вимагає впровадження перелічених вище контролів доступу та обовʼязкової участі людини в ухваленні рішень із високим рівнем ризику. Організаціям, що обробляють конфіденційні дані, варто серйозно поставитися до рекомендації нідерландського регулятора й оцінити, чи взагалі припустиме підключення OpenClaw до систем із чутливою інформацією без повноцінної ізоляції.
