Популярный открытый ИИ-агент OpenClaw, ранее известный как Clawdbot и Moltbot, оказался уязвим для атак, позволяющих злоумышленникам полностью захватить контроль над системой.
Проблема в архитектуре
Эксперты по безопасности из Zenity Labs обнаружили, что атакующие могут получить долговременный контроль над системами с помощью косвенной промпт-инъекции. Для этого достаточно одного подправленного документа – никакого дополнительного участия пользователя не требуется.
Корень проблемы заложен прямо в архитектуре OpenClaw: агент обрабатывает контент из недоверенных источников – писем, расшаренных файлов – в том же контексте, что и прямые инструкции пользователя. Между тем, чего хочет пользователь, и тем, что агент “читает между делом”, нет никакого разграничения, а вся защита переложена на механизмы базовой языковой модели.
Опасность бэкдора
Особенно опасным это делает то, что, в отличие от обычных чат-ботов, OpenClaw создан не просто для разговоров – он действует: выполняет команды, читает и записывает файлы и работает с теми правами, которые ему выдали при установке. Стоит “накормить” его неверными инструкциями – и потенциальный ущерб становится по-настоящему серьезным.
Атака через подмененные документы
Атаку исследователи показывают на типичном корпоративном сценарии: сотрудник устанавливает OpenClaw и подключает его к Slack и Google Workspace. Все начинается с на вид безобидного документа. Но глубже в тексте скрыта замаскированная инструкция.
Когда OpenClaw обрабатывает файл, его обманом вынуждают создать новую чат-интеграцию – телегам-бота с ключом доступа, заранее подготовленным злоумышленником.
Возможность закрепления атаки
После этого OpenClaw начинает принимать команды напрямую от атакующего. Исходная точка входа больше не нужна. У злоумышленника появляется постоянный канал управления, полностью невидимый для компании.
Еще тревожнее выглядит возможность закрепления атаки. OpenClaw использует конфигурационный файл SOUL.md, который определяет поведение агента. Через бэкдор атакующий может изменить и его.
Установка C2-маяка
Финальный штрих – установка C2-маяка. В результате скомпрометированный ИИ-агент превращается в классический шлюз для хакеров. Дальше можно перемещаться по корпоративной сети, красть учетные данные или разворачивать вымогательское ПО.
Заключение
Атака работает с разными моделями, включая GPT-5.2, и через различные интеграции. “Если персональные ИИ-ассистенты собираются жить на наших конечных устройствах и внутри рабочих процессов, компромиссы в вопросах безопасности недопустимы”, – пишут исследователи.
Системные промпты, конфигурации инструментов и файлы памяти считывались почти без усилий. Простое сканирование выявило 954 экземпляра OpenClaw с открытыми gateway-портами, многие из них – вообще без какой-либо аутентификации.
RU 
EN