Заблуждение о «доверенной среде»
Исследование от 31 марта, проведенное компанией Web3 по безопасности Certik, раскрыло «системный коллапс» границ безопасности в Openclaw, платформе искусственного интеллекта (ИИ) с открытым исходным кодом. Несмотря на стремительный рост до более чем 300 000 звезд на Github, фреймворк накопил более 100 CVE и 280 предупреждений о безопасности всего за четыре месяца, создав то, что исследователи называют «неограниченной» поверхностью атаки.
Отчет подчеркивает фундаментальный архитектурный недостаток: Openclaw изначально был разработан для «доверенных локальных сред». Однако, по мере взрывного роста популярности платформы, пользователи начали развертывать её на серверах, подключенных к интернету — переход, к которому программное обеспечение не было готово.
Согласно отчету исследования, исследователи выявили несколько точек отказа высокого риска, угрожающих пользовательским данным, включая критическую уязвимость CVE-2026-25253, которая позволяет злоумышленникам получить полный административный контроль. Обманув пользователя и заставив его нажать на одну вредоносную ссылку, хакеры могут украсть токены аутентификации и захватить ИИ-агент.
Между тем, глобальное сканирование выявило более 135 000 подключенных к интернету экземпляров Openclaw в 82 странах. Во многих из них аутентификация была отключена по умолчанию, что приводило к утечке API ключей, истории чатов и конфиденциальных данных в открытом виде. В отчете также утверждается, что репозиторий платформы для пользовательских «навыков» был заражен вредоносным ПО, и было обнаружено, что сотни этих расширений содержат программы-похитители, предназначенные для кражи сохраненных паролей и криптокошельков.
Кроме того, злоумышленники теперь скрывают вредоносные инструкции в электронных письмах и веб-страницах. Когда ИИ-агент обрабатывает эти документы, его можно заставить извлечь файлы или выполнить несанкционированные команды без ведома пользователя.
«Openclaw стал примером того, что происходит, когда большие языковые модели перестают быть изолированными чат-системами и начинают действовать в реальных средах», — сказал ведущий аудитор из Penligent. «Он объединяет классические дефекты программного обеспечения в среду выполнения с высокими делегированными полномочиями, делая радиус поражения от любой отдельной ошибки огромным».
Меры по снижению рисков и рекомендации по безопасности
В ответ на эти выводы эксперты призывают к подходу «безопасность прежде всего» как для разработчиков, так и для конечных пользователей. Для разработчиков исследование рекомендует создавать формальные модели угроз с первого дня, обеспечивать строгую изоляцию в песочнице и гарантировать, что любой подпроцесс, порожденный ИИ, наследует только низкие привилегии и неизменяемые разрешения.
Для корпоративных пользователей команды безопасности призываются использовать инструменты обнаружения и реагирования на конечных точках (EDR) для обнаружения несанкционированных установок Openclaw в корпоративных сетях. С другой стороны, частным пользователям рекомендуется запускать инструмент исключительно в изолированной среде без доступа к производственным данным. Самое главное, пользователи должны обновиться до версии 2026.1.29 или более поздней, чтобы устранить известные уязвимости удаленного выполнения кода (RCE).
Хотя разработчики Openclaw недавно заключили партнерство с Virustotal для сканирования загружаемых навыков, исследователи Certik предупреждают, что это «не панацея». До тех пор, пока платформа не достигнет более стабильной фазы безопасности, общее мнение в отрасли состоит в том, чтобы рассматривать программное обеспечение как изначально недоверенное.
FAQ ❓
- Что такое Openclaw? Openclaw — это фреймворк ИИ с открытым исходным кодом, который быстро вырос до более чем 300 000 звезд на GitHub.
- Почему он рискован? Он был создан для доверенного локального использования, но теперь широко развернут в интернете, что раскрывает серьезные недостатки.
- Какие угрозы существуют? Критические CVE, зараженные вредоносным ПО расширения и более 135 000 открытых экземпляров в 82 странах.
- Как пользователи могут оставаться в безопасности? Запускайте только в изолированных средах и обновитесь до версии 2026.1.29 или более поздней.
Источник: https://news.bitcoin.com/study-critical-exploit-in-openclaw-allows-full-administrative-hijacking/
