В начале февраля 2026 г. специалисты по безопасности выявили серьёзную уязвимость в OpenClaw, популярной автономной AI-платформе (раньше известной как Clawdbot и Moltbot), которая позволяет удалённо выполнить произвольный код на машине пользователя всего одним кликом по вредоносной ссылке.
OpenClaw быстро набрала популярность после релиза в ноябре 2025 г., уверяя, что работает локально на устройстве пользователя, не отправляя данные на сторонние серверы и давая полный контроль владельцу. Однако теперь выяснилось, что из-за ошибки в обработке URL злоумышленник может обойти эту модель безопасности и захватить систему.
Что произошло?
Уязвимость, зарегистрированная как CVE-2026-25253 с оценкой по шкале CVSS 8.8 (высокая критичность), связана с тем, как OpenClaw обрабатывает параметр gatewayUrl из строки запроса. До исправления приложение автоматически подключалось к указанному в URL WebSocket-серверу без подтверждения пользователя, отправляя вместе с соединением токен аутентификации.
Это означает, что достаточно разместить на сайте специально сконструированную ссылку при посещении её пользователем OpenClaw отправит на сервер злоумышленника токен, который тот сможет использовать для доступа к локальной Instace OpenClaw.
Как работает атака?
Жертва переходит по вредоносной ссылке или посещает сайт, содержащий опасный код.
Браузер запускает JavaScript, который извлекает аутентификационный токен из OpenClaw.
Скрипт по WebSocket подключается к локальному серверу OpenClaw, передаёт токен и получает доступ.
Используя высокие привилегии токена (операторские права), злоумышленник:
отключает подтверждения пользователя;
изменяет настройки песочницы и политик инструментов;
заставляет систему выполнять команды напрямую на хост-машине, обходя контейнеризацию.
В итоге атакующий получает возможность выполнить произвольные команды в системе жертвы.
Ещё хуже то, что атака работает даже когда OpenClaw слушает только localhost, так как браузер сам инициирует исходящее соединение, обходя локальные сетевые фильтры.
Чем это опасно
Для разработчиков и системных администраторов OpenClaw был инструментом автоматизации задач через привычный чат-интерфейс. Но теперь эта же интеграция стала источником риска:
Потенциальный полный контроль над локальной системой.
Возможность отключить защитные механизмы песочницы и проверок.
Злоумышленник получает полный доступ к локальным данным, ключам, инструментам.
Уязвимость эксплуатируется быстро и почти молниеносно после перехода по ссылке.
Решение и что делать сейчас
Разработчики OpenClaw оперативно выпустили патч в версии 2026.1.29, исправляющий проблему. Всем пользователям и администраторам настоятельно рекомендуется:
немедленно обновить OpenClaw до версии 2026.1.29 или новее;
пересоздать/отозвать аутентификационные токены, которые могли быть скомпрометированы;
избегать переходов по подозрительным ссылкам, особенно при запущенном OpenClaw;
по возможности ограничить работу сервиса в безопасной среде (VM, песочница).
Почему это случилось
Проблема возникла из-за отсутствия проверки доверия к внешнему WebSocket-источнику и автоматического соединения без подтверждения пользователя. Это не просто баг реализации, а показатель того, как тонкая грань между удобством и безопасностью может привести к катастрофическим последствиям, особенно когда AI-ассистент работает с системой пользователя на низком уровне.
Источник: HN