Хибність концепції «довіреного середовища»
Дослідження від 31 березня, проведене компанією з безпеки Web3 Certik, виявило «системний крах» меж безпеки в Openclaw — платформі штучного інтелекту (ШІ) з відкритим вихідним кодом. Незважаючи на швидке зростання до понад 300 000 зірок на Github, за чотири місяці фреймворк накопичив понад 100 CVE та 280 сповіщень про безпеку, створивши те, що дослідники називають «необмеженою» поверхнею атак.
Звіт підкреслює фундаментальну архітектурну ваду: Openclaw спочатку був розроблений для «довірених локальних середовищ». Однак, коли популярність платформи вибухнула, користувачі почали розгортати її на серверах, підключених до інтернету — перехід, до якого програмне забезпечення не було готове.
Згідно зі звітом дослідження, дослідники виявили кілька точок відмови високого ризику, які загрожують даним користувачів, включаючи критичну вразливість CVE-2026-25253, яка дозволяє зловмисникам отримати повний адміністративний контроль. Обманом змусивши користувача клікнути на одне шкідливе посилання, хакери можуть вкрасти токени автентифікації та захопити ШІ-агент.
Тим часом глобальне сканування виявило понад 135 000 відкритих в інтернеті екземплярів Openclaw у 82 країнах. Багато з них мали вимкнену автентифікацію за замовчуванням, витікаючи API-ключі, історії чатів та конфіденційні дані у відкритому вигляді. Звіт також стверджує, що репозиторій платформи для «навичок», якими діляться користувачі, був інфільтрований зловмисним програмним забезпеченням, і було виявлено сотні розширень, які містили інфостілери, призначені для крадіжки збережених паролів та криптовалютних гаманців.
Крім того, зловмисники тепер приховують шкідливі інструкції в електронних листах та вебсторінках. Коли ШІ-агент обробляє ці документи, його можна змусити витягувати файли або виконувати несанкціоновані команди без відома користувача.
«Openclaw став прикладом того, що відбувається, коли великі мовні моделі перестають бути ізольованими чат-системами і починають діяти в реальних середовищах», — сказав провідний аудитор з Penligent. «Він агрегує класичні дефекти програмного забезпечення в середовище виконання з високими делегованими повноваженнями, роблячи радіус впливу будь-якої окремої помилки масивним».
Рекомендації щодо пом'якшення та безпеки
У відповідь на ці висновки експерти закликають до підходу «безпека понад усе» як для розробників, так і для кінцевих користувачів. Для розробників дослідження рекомендує встановлювати формальні моделі загроз з першого дня, забезпечувати сувору ізоляцію пісочниці та гарантувати, що будь-який підпроцес, створений ШІ, успадковує лише низькорівневі, незмінні дозволи.
Для корпоративних користувачів команди безпеки закликають використовувати інструменти виявлення та реагування на кінцевих точках (EDR) для пошуку несанкціонованих інсталяцій Openclaw у корпоративних мережах. З іншого боку, окремим користувачам рекомендується запускати інструмент виключно в ізольованому середовищі без доступу до робочих даних. Найважливіше, що користувачі повинні оновитися до версії 2026.1.29 або пізнішої, щоб виправити відомі вразливості віддаленого виконання коду (RCE).
Хоча розробники Openclaw нещодавно об'єдналися з Virustotal для сканування завантажених навичок, дослідники Certik попереджають, що це «не панацея». Поки платформа не досягне більш стабільної фази безпеки, галузевий консенсус полягає в тому, щоб розглядати програмне забезпечення як по суті недовірене.
FAQ ❓
- Що таке Openclaw? Openclaw — це ШІ-фреймворк з відкритим вихідним кодом, який швидко виріс до понад 300 000 зірок на GitHub.
- Чому він ризикований? Він був створений для довіреного локального використання, але тепер широко розгортається онлайн, виявляючи серйозні вади.
- Які загрози існують? Критичні CVE, інфіковані зловмисним ПЗ розширення та понад 135 000 відкритих екземплярів у 82 країнах.
- Як користувачі можуть залишатися в безпеці? Запускайте лише в ізольованих середовищах та оновіться до версії 2026.1.29 або пізнішої.
Джерело: https://news.bitcoin.com/study-critical-exploit-in-openclaw-allows-full-administrative-hijacking/
