Исследователь Chinmohan Nayak рассказал о трёх уязвимостях в личном ИИ-ассистенте OpenClaw, которые уже закрыли в версии 2026.6.6. По его оценке, цепочка ошибок могла привести к краже учётных данных, повышению привилегий и запуску произвольного кода на хосте после внешнего сообщения через WhatsApp.

Что произошло и почему это важно

Речь идёт не об абстрактной лабораторной демонстрации, а о баге в инструменте, который работает рядом с чувствительными данными пользователя и выполняет команды на локальной машине. Такой класс ошибок особенно опасен, когда в систему попадает контент из внешнего чата, почты или другого канала, которому доверяют слишком много.

OpenClaw исправила все три проблемы, но сам разбор полезен как напоминание: уязвимость в ИИ-ассистенте часто бьёт не по самому приложению, а по хосту, где лежат ключи, токены и рабочие файлы. Это уже не история про «сломался интерфейс», а про полный захват среды.

Какие именно дыры нашли

Первая и вторая уязвимости получили идентификаторы GHSA-hjr6-g723-hmfm и GHSA-9969-8g9h-rxwm. Обе связаны с внедрением операционных команд и неполным списком запрещённых входных данных в механизме фильтрации среды выполнения на хосте. Иначе говоря, система пыталась отсеивать опасные команды, но делала это недостаточно строго.

Третья проблема — GHSA-575v-8hfq-m3mc. Это обход проверки путей через переход по ссылкам и traversal-ошибка, из-за которой sandbox bind mounts могли обойти запрет на доступ к родительским каталогам.

По словам исследователя, через такие ошибки можно было добраться до каталогов вроде ~/.ssh, ~/.aws и ~/.gnupg, а через /var — даже до Docker socket. В такой конфигурации атака выходит далеко за рамки одной программы.

Какие есть подходы к защите

1. Обновить OpenClaw до версии 2026.6.6

Это базовый шаг, без которого все остальные меры теряют смысл. Патч уже вышел, и именно он закрывает описанную цепочку.

Плюс: устраняет конкретные баги. Минус: помогает только после установки обновления и не спасает, если рядом остаются опасные настройки доступа.

2. Сжать права и списки разрешений

Разработчики советуют включать sandbox mode для всех неосновных сессий, убирать exec из списка разрешённых инструментов для агентов, работающих с каналами, и держать allowlist как можно уже.

Это не лечит баг само по себе, но сильно снижает ущерб, если злоумышленник всё же попытается протолкнуть опасный ввод. Подход особенно важен там, где ИИ-ассистент работает с чужими или полудоверенными данными.

3. Разделять доверенные и недоверенные сценарии

OpenClaw прямо советует не делить один Gateway между пользователями с разным уровнем доверия. Если этого не сделать, ошибка в одном потоке может затронуть чужие данные и чужие сессии.

Такой вариант хорош для команд и компаний, где ассистентом пользуются сразу несколько человек. Его слабое место — организационная дисциплина: без неё изоляция быстро превращается в формальность.

4. Следить за подозрительными командами и протоколами

В advisories отдельно упомянут git clone с внешним помощником ext::, который может стать каналом для запуска системных команд. Для администраторов это повод настроить мониторинг на аномальные шаблоны, а для пользователей — не давать помощнику лишнего.

Если вам нужен дополнительный слой защиты при удалённой работе или поездках, можно смотреть в сторону защищённого канала для рабочих задач как части общей гигиены доступа. Но сам по себе такой инструмент не заменяет обновления, настройки прав и изоляции.

Кому что подходит

Обычному пользователю достаточно установить патч и не держать ИИ-ассистента в режиме, где он получает больше прав, чем нужно. Если вы используете его для личных заметок, кода или работы с файлами, проверьте, какие каталоги ему доступны.

Командам и компаниям нужен уже набор мер: обновление, раздельные сессии, узкие списки разрешений и контроль журналов. Для админов и тех, кто отвечает за инфраструктуру, это ещё и повод проверить, не лежат ли рядом с ассистентом ключи, токены и доступы к облакам.

Отдельный интерес у таких историй — для тех, кто следит за атаками на ИИ-сервисы. Мы уже разбирали, как HalluSquatting научил ИИ-агентов ставить вредоносные репозитории, и новая цепочка показывает тот же тренд: атакуют не только модель, но и её рабочую обвязку.

Практический чек-лист

  • Проверьте, установлена ли в OpenClaw версия 2026.6.6 или новее.
  • Отключите лишние права у ИИ-ассистента и уберите доступ к ненужным инструментам.
  • Не используйте один и тот же Gateway для пользователей с разным уровнем доверия.
  • Ограничьте доступ к каталогам с ключами, токенами и конфиденциальными файлами.
  • Настройте контроль подозрительных команд, особенно git clone с ext::.
  • Проверьте, не включены ли функции, которые вам не нужны прямо сейчас.
  • Если вы работаете удалённо или в поездках, добавьте дополнительный слой защиты для рабочих подключений.
Поделиться: