В 2024–2026 годах автономные AI-агенты окончательно перестали быть игрушкой для демо. Они научились читать файлы, ходить в API, выполнять команды и жить в инфраструктуре компании. Вместе с этим вырос и класс решений, которые называют «агентными оркестраторами» — прослойками между LLM и реальной средой исполнения.
OpenClaw — один из таких проектов. Он позиционируется как self-hosted шлюз для AI-агента, который можно подключить к локальной системе, мессенджерам и внутренним сервисам. На уровне архитектуры это уже не просто чат-бот, а компонент, получающий доступ к файловой системе, токенам, внешним API и инструментам.
Но чем глубже агент интегрируется в инфраструктуру, тем выше цена ошибки в его модели доверия. Недавно был найден способ атаки, который позволяет «перехватить» поведение агента и фактически переписать его намерения. Разберём, как устроен этот механизм, где именно возникает уязвимость и почему проблема лежит не в конкретной реализации, а в самой логике агентных систем.
Что произошло
Исследователи в области кибербезопасности зафиксировали случай заражения инфостилером, который успешно получил конфигурации OpenClaw (ранее Clawdbot и Moltbot) у жертвы.
«Начался важный этап в эволюции поведения инфостилеров: переход от кражи учетных данных браузеров к похищению “душ” и идентичностей персональных ИИ‑агентов», — заявили в Hudson Rock.
Алон Гал, технический директор Hudson Rock, сообщил The Hacker News, что судя по деталям заражения, стилер был одним из видов Vida, известного с конца 2018 года.
Эксперты в сфере кибербезопасности пояснили, что злоумышленники не использовали для сбора данных специальный модуль OpenClaw. Они применяли «широкую процедуру захвата файлов», предназначенную для поиска определённых расширений файлов и каталогов с конфиденциальными данными, например:
-
openclaw.json— содержит сведения о токене шлюза OpenClaw, скрытый (редактированный) адрес электронной почты жертвы и путь к рабочему пространству. -
device.json— содержит криптографические ключи для безопасного сопряжения и операций подписи в экосистеме OpenClaw. -
soul.md— содержит описание ключевых операционных принципов агента, поведенческих установок и этических ограничений.
Стоит отметить, что кража токена аутентификации шлюза может позволить злоумышленнику удалённо подключиться к локальному экземпляру OpenClaw жертвы (если соответствующий порт открыт). Или даже выдавать себя за клиента при выполнении аутентифицированных запросов к ИИ‑шлюзу.
«Хотя вредоносная программа, возможно, искала стандартные “секреты”, она случайно сорвала джекпот, захватив весь операционный контекст ИИ‑ассистента пользователя», — добавили в Hudson Rock. — «ИИ‑агенты, как OpenClaw, всё глубже интегрируются в профессиональные рабочие процессы. Вероятно, разработчики инфостилеров вскоре начнут выпускать специализированные модули, предназначенные для расшифровки и анализа этих файлов. Так же, как сегодня это делается для Chrome или телеграма».
Проблему раскрыли на фоне ранее выявленных проблем в безопасности OpenClaw. В связи с инцидентом сопровождающие открытой агентной платформы объявили о партнерстве с VirusTotal. Теперь навыки, загружаемые в ClawHub, будут проверяться на наличие вредоносного кода. Кроме того, разработчики пообещали создать модель угроз и добавить инструменты для аудита потенциальных ошибок конфигурации.
На прошлой неделе команда OpenSourceMalware подробно описала продолжающуюся кампанию по распространению вредоносных навыков через ClawHub. В ней используется новая техника обхода сканирования VirusTotal. Вредоносное ПО размещается на поддельных сайтах, имитирующих OpenClaw. Сами же навыки используются как приманка, вместо того чтобы встраивать полезную нагрузку напрямую в файлы SKILL.md.
«Переход от встроенных полезных нагрузок к внешнему размещению вредоносного ПО показывает, что злоумышленники адаптируются к возможностям обнаружения», — заявил исследователь в области безопасности Пол Маккарти. — «По мере роста реестров ИИ‑навыков они становятся всё более привлекательными целями для атак на цепочку поставок».
Ещё одна проблема безопасности, на которую указала компания OX Security, касается Moltbook. Это интернет‑форум, похожий на Reddit, предназначенный исключительно для ИИ-агентов, в основном работающих на OpenClaw. Исследование обнаружило проблему: учётную запись ИИ‑агента, созданную в Moltbook, нельзя удалить.
Кроме того, анализ, опубликованный командой STRIKE Threat Intelligence компании SecurityScorecard, выявил сотни тысяч открытых экземпляров OpenClaw, что, вероятно, подвергает пользователей рискам удалённого выполнения кода (RCE).
«Уязвимости типа RCE позволяют злоумышленнику отправить вредоносный запрос сервису и выполнить произвольный код на базовой системе», — заявили эксперты по кибербезопасности. — «Когда OpenClaw работает с правами доступа к электронной почте, API, облачным сервисам или внутренним ресурсам, уязвимость RCE может стать точкой опоры. Злоумышленнику не нужно взламывать несколько систем — достаточно одного открытого сервиса, который уже обладает необходимыми полномочиями».
С момента своего дебюта в ноябре 2025 года OpenClaw переживает стремительный рост популярности. На момент написания проект с открытым исходным кодом имеет более 200 000 звёзд на GitHub. 15 февраля 2026 года генеральный директор OpenAI Сэм Альтман заявил, что основатель OpenClaw Питер Штайнбергер присоединится к компании, добавив: «OpenClaw продолжит существовать в виде фонда как проект с открытым исходным кодом, который OpenAI будет и дальше поддерживать».
Подводя итоги
Случай с OpenClaw показывает не просто отдельную уязвимость, а системную проблему агентных архитектур. Чем больше автономии получает AI-агент, тем выше риск того, что атака произойдёт не на уровне инфраструктуры, а на уровне смысла — через подмену контекста и намерения.
Агент — это не детерминированная программа, а интерпретатор входных данных. Если границы между системной инструкцией, пользовательским вводом и внешним контентом размыты, он может сам выполнить то, что изначально запрещено.
Поэтому безопасность агентных систем — это уже не только про токены и sandbox, а про строгую модель доверия и контроль семантики. И этот класс атак будет возвращаться, пока мы не научимся проектировать агентов с учётом этой реальности.
НЛО прилетело и оставило здесь промокод для читателей нашего блога:
-15% на заказ любого VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.
Автор: YukinoKingu
