Исследователи по кибербезопасности впервые зафиксировали случай, когда вредоносное ПО из класса infostealer целенаправленно похитило ключевые данные личного AI-агента OpenClaw, включая токены доступа и конфигурационные файлы. Это свидетельствует о расширении горизонтов атак: злоумышленники переходят от кражи паролей к захвату цифровой идентичности интеллектуальных агентов, которые действуют от имени пользователя.
Что именно похитило вредоносное ПО
Согласно анализу компании Hudson Rock, инфостилер (вероятно, вариант известного семейства Vidar) был обнаружен на зараженном устройстве, где он автоматически сканировал директории и выбирал файлы с конфиденциальными данными. Среди похищенного оказались:
openclaw.json - с адресом электронной почты пользователя и шлюзовым токеном (gateway token), который мог бы позволить управлять агентом на расстоянии;
device.json - криптографические ключи, используемые агентом для проверки и подписи;
soul.md - файл, содержащий внутренние правила поведения, принципы работы и направления деятельности AI-агента.
Эксперты отмечают, что инфостилер не был специально адаптирован под OpenClaw: он просто обыскивал систему в поисках ключевых файлов и случайно захватил содержимое конфигурации, поскольку оно соответствует шаблонам и ключевым словам, которые интересуют такие вирусы.
Почему это важно
OpenClaw - это популярный персональный AI-ассистент с расширенными правами, который может выполнять команды на компьютере, работать с файлами, взаимодействовать с внешними сервисами и хранить долгосрочную память о пользователе. Эти возможности делают его удобным, но одновременно очень уязвимым, если злоумышленники получат доступ к его конфигурации.
Потеря токенов и ключей OpenClaw может привести к:
несанкционированному управлению AI-агентом;
утечке личных данных;
доступу к связанным сервисам, включая облачные аккаунты и переписку;
дальнейшей компрометации систем, где агент работает.
Контекст угрозы
Этот инцидент стал лишь последним из ряда тревожных событий в экосистеме OpenClaw. За последние несколько недель исследователи выявили сотни вредоносных skills, распространяемых через официальный маркетплейс ClawHub. Многие из них маскируются под полезные инструменты, например, для анализа криптовалюты или работы с финансами , но на деле содержат скрипты, которые загружают и запускают инфостиллеры на машинах пользователей.
Кроме того, OpenClaw столкнулся с критикой из-за отсутствия чёткого контроля безопасности: открытый доступ к системным функциям, выполнение команд с локальными правами и возможность автоматической установки кода делают платформу привлекательной целью для злоумышленников.
Команда проекта уже объявила о партнёрстве с VirusTotal, чтобы автоматически сканировать загружаемые модули и выявлять потенциально вредоносные элементы. Также планируется внедрение модели угроз, улучшенные инструменты для аудита и процесс формальной безопасности публикации навыков.
Однако сами разработчики предупреждают, что такие меры едва ли смогут полностью устранить риски, поскольку вредоносные действия могут быть скрыты в самих инструкциях и логике выполнения, а не только в исполняемых файлах.
Источник: HN