Дослідники компанії Hudson Rock повідомили про перший підтверджений випадок викрадення конфігураційних файлів ІІ-агента OpenClaw. Інфостілер класу Vidar отримав доступ до токенів, API‑ключів та криптографічних ключів, фактично відкривши зловмисникам двері до «внутрішнього світу» персонального ІІ-асистента користувача.
OpenClaw: локальний ІІ-агент як нова критична точка атаки
OpenClaw (раніше відомий як ClawdBot і MoltBot) — це локальний фреймворк для розгортання та керування ІІ-агентами. На відміну від суто хмарних сервісів, він зберігає конфігурацію, «пам’ять» та історію взаємодій безпосередньо на пристрої користувача.
Фреймворк може отримувати доступ до локальних файлів, електронної пошти, месенджерів і зовнішніх сервісів, інтегруючись у щоденні робочі процеси. Саме завдяки такій глибокій інтеграції OpenClaw зібрав понад 200 000 «зірок» на GitHub, а його автор Пітер Штайнбергер був запрошений до команди OpenAI.
Однак з точки зору кібербезпеки така концентрація повноважень і даних в одному компоненті робить OpenClaw високоризиковою мішенню. Інфостілери, які традиційно полюють за паролями браузера, cookie та гаманцями криптовалют, закономірно переключаються на ІІ-агентів як на джерело значно більш повного цифрового профілю користувача.
Як Vidar викрав конфігурацію OpenClaw: техніка інфостілера без спеціальних модулів
За даними Hudson Rock, компрометація сталася внаслідок зараження пристрою жертви інфостілером Vidar. Дата інциденту вказана як 13 лютого 2026 року. При цьому шкідливе ПЗ не містило окремого, спеціально розробленого модуля для OpenClaw.
Vidar діяв за типовим для інфостілерів сценарієм: сканував файлову систему в пошуку документів, які у назві або вмісті містять ключові слова на кшталт «token», «api», «private key», «secret». Каталог .openclaw потрапив під ці евристичні правила і був автоматично доданий до переліку файлів, що підлягають ексфільтрації.
Hudson Rock підкреслює, що це знаковий етап еволюції інфостілерів: від викрадення розрізнених паролів і cookie зловмисники рухаються до повноцінної компрометації цифрової ідентичності користувача через його персонального ІІ-агента.
Які файли OpenClaw були скомпрометовані і що це дає зловмисникам
Openclaw.json: токен аутентифікації та базова ідентифікація
Один із викрадених файлів — Openclaw.json. У ньому зберігаються маскований email власника, шлях до робочої директорії та токен аутентифікації шлюзу з високою ентропією.
Якщо токен не прив’язаний жорстко до пристрою та контексту, зловмисник потенційно може:
- підключатися до локального інстансу OpenClaw як «законний» клієнт;
- надсилати запити від імені користувача та маніпулювати поведінкою агента;
- використовувати цей доступ як точку опори для подальшого руху в мережі (lateral movement).
Device.json: криптографічні ключі пристрою
Найбільш критичним є файл Device.json із полями publicKeyPem та privateKeyPem. Ці ключі застосовуються для прив’язки інстансу OpenClaw до конкретного пристрою, підпису службових повідомлень та, ймовірно, для шифрування частини даних.
Володіючи приватним ключем, атакувальний суб’єкт може:
- підписувати запити як «легітимний» пристрій жертви;
- обходити захисні механізми на кшталт Safe Device або подібних перевірок цілісності;
- отримати доступ до зашифрованих логів чи пов’язаних хмарних сервісів.
Soul.md, AGENTS.md, MEMORY.md: поведінка ІІ і персональний контекст
Додатково були викрадені файли Soul.md, AGENTS.md та MEMORY.md. Вони описують базову поведінку агента, його роль, обмеження, а також містять сталу «пам’ять»: фрагменти листування, нотатки, події календаря, робочі плейбуки й інші чутливі дані.
У підсумку зловмисник отримує не просто набір облікових даних, а структурований психологічний і робочий профіль користувача. Такий масив інформації суттєво підвищує ефективність таргетованого фішингу, соціальної інженерії та атак з імперсонацією в різних сервісах.
Чому атаки на ІІ-агентів будуть наростати
OpenClaw — лише один представник класу локальних ІІ-фреймворків, що стрімко проникають у бізнес-процеси та приватне використання. Із зростанням їхньої популярності для кіберзлочинців логічними стануть такі кроки:
- додавання спеціалізованих сигнатур для виявлення каталогів на кшталт
.openclawдо більшості інфостілерів; - цілеспрямоване полювання за файлами конфігурацій та «пам’яті» ІІ-агентів;
- використання викрадених токенів і ключів для довготривалих, малопомітних атак на пошту, хмарні сховища та корпоративні чати.
Для зловмисників ІІ-агент — це концентратор найцінніших даних: він «бачить» набагато більше, ніж окремий мессенджер чи браузер, і зберігає інформацію в уже структурованому вигляді, придатному для автоматизованої аналітики.
Як захистити OpenClaw та інші ІІ-агенти: практичні заходи кібербезпеки
Щоб знизити ризик компрометації конфігураційних файлів ІІ-агентів, доцільно реалізувати комплекс технічних і організаційних заходів.
- Посилений захист кінцевих точок — використання актуальних антивірусів, рішень класу EDR/XDR, контролю запуску виконуваних файлів, регулярне оновлення ОС та ПЗ. Це базовий бар’єр проти інфостілерів рівня Vidar.
- Мінімізація й сегментація секретів — зберігати лише критично необхідні токени та ключі, розділяти робочі й особисті профілі, запускати ІІ-агентів у окремих облікових записах або віртуальних машинах.
- Шифрування та обмеження доступу до конфігів — за можливості розміщувати файли конфігурацій у зашифрованих контейнерах, обмежувати права доступу до каталогів
.openclawта аналогічних директорій, застосовувати дискове шифрування. - Регулярна ротація ключів і токенів — навіть у разі витоку це суттєво скорочує часовий горизонт, протягом якого зловмисник може використовувати викрадені дані.
- Контроль інтеграцій ІІ-агента — уважно оцінювати, до яких поштових, хмарних і корпоративних сервісів має доступ агент, і впроваджувати принцип найменших привілеїв (least privilege).
Інцидент із крадіжкою конфігурації OpenClaw показує, що персональні ІІ-агенти вже стали повноцінною ціллю для кіберзлочинців. У міру того як ШІ-грамотні помічники глибше інтегруються у бізнес та повсякденне життя, безпеку ІІ-інфраструктури слід розглядати на одному рівні з захистом пошти, браузерів і мобільних пристроїв. Організаціям і окремим користувачам варто вже зараз провести ревізію того, які дані зберігають їхні ІІ-агенти, як захищені конфігурації, токени та ключі, і впровадити додаткові заходи безпеки до того, як атаки на цю нову поверхню стануть масовими.
