Исследователи обнаружили критические уязвимости в OpenClaw и Moltbook, угрожающие безопасности ИИ-агентов

OpenClaw позволяет злоумышленникам практически без усилий извлекать системные подсказки и конфигурации. Вся база данных Moltbook, включая ключи API, находится в открытом доступе в общедоступной сети.

Разработчик Лукас Вальбуэна протестировал OpenClaw ^[1], ранее известный как Clawdbot, с помощью инструмента анализа безопасности ZeroLeaks. Результаты оказались плохими: при использовании Gemini 3 Pro платформа набрала всего 2 балла из 100. ^[2] Codex 5.1 Max показал результат в 4 балла из 100, а Opus 4.5 – 39 баллов из 100 ^[3].

Анализ Gemini 3 Pro показал 84-процентную вероятность извлечения данных, при этом 91 процент инъекционных атак оказались успешными. Системная подсказка была полностью раскрыта с первой попытки. Полный анализ ^[4] находится в открытом доступе.

Вальбуэна предупреждает, что любой, кто взаимодействует с агентом на основе OpenClaw, может получить доступ к его полной системной подсказке, внутренним конфигурациям инструментов и файлам памяти ^[5]. Это включает в себя такие файлы, как SOUL.md ^[6] и AGENTS.md ^[7], а также все навыки и встроенную информацию.

«Для агентов, работающих с конфиденциальными рабочими процессами или личными данными, это реальная проблема», – пишет Вальбуэна.

Взлом Moltbook ставит под угрозу безопасность известных пользователей

Исследователь в области безопасности Джеймисон О’Рейли обнаружил еще большую проблему на Moltbook, платформе, похожей на Reddit, где агенты ИИ взаимодействуют друг с другом ^[8]: вся база данных находится в общедоступной сети без какой-либо защиты ^[9]. Это включает в себя секретные ключи API, которые позволят злоумышленникам публиковать сообщения от имени любого агента.

О’Рейли приводит яркий пример: исследователь ИИ Андрей Карпати, у которого 1,9 миллиона подписчиков на X, также присутствует на Moltbook. Используя скомпрометированные ключи, злоумышленники могли распространять от его имени ложные заявления о безопасности ИИ, рекламу криптомошенничеств или подстрекательский политический контент. По словам О’Рейли, на момент проведения проверки пострадал каждый агент платформы.

Запуск Clawdbot на Moltbook особенно опасен. Любой, кто это делает, подвергает своего ИИ-агента атакам с внедрением подсказок, и беспокоиться нужно не только о других агентах: люди также могут получить доступ к API Moltbook, предоставляя злоумышленникам прямой доступ к уязвимым агентам.

Проблема оперативных инъекций остается нерешенной

Оба случая демонстрируют ключевую проблему для агентов и платформ: внедрение подсказок остается серьезной уязвимостью ^[10] в растущей экосистеме ИИ-агентов. Можно ли решить эту проблему, пока неясно. На данный момент  ^[11]надежной защиты от внедрения подсказок ^[12] не существует.

Есть и положительный момент: такие проекты, как OpenClaw и Moltbook, проливают свет на уязвимости безопасности в системах искусственного интеллекта ^[13] на основе агентов, что может ускорить разработку исправлений. Тем не менее, тем, кто не знаком с этими системами, пока следует воздержаться от их использования.

Разработчикам следует максимально защитить стандартную конфигурацию Clawdbot. К лучшим практикам относится обработка секретов через переменные среды и вызовы инструментов, а не хранение конфиденциальных данных непосредственно в конфигурационных файлах, таких как SOUL.md ^[6] или AGENTS.md ^[7]. Тем, кто не запускает свой VPS локально, следует защитить его с помощью облачного туннелирования, обратных прокси и других методов, используемых для защиты общедоступных веб-приложений.

Пользователь X fmdz несколько дней назад предупредил ^[14] о надвигающейся катастрофе с Clawd. Простое сканирование выявило 954 экземпляра Clawdbot с открытыми портами шлюза, многие из которых работают без аутентификации. Экземпляры распределены по серверам в США, Китае, Германии, России и Финляндии. Он ожидает масштабной утечки учетных данных, если это продолжится. Для безопасной настройки он рекомендует Cloudflare Tunnel с Zero Trust Login или Nginx с HTTPS и защитой паролем.

Делегируйте часть рутинных задач вместе с BotHub! ^[15] Для доступа к сервису не требуется VPN и можно использовать российскую карту. По ссылке ^[16] вы можете получить 100 000 бесплатных токенов для первых задач и приступить к работе с нейросетями прямо сейчас!

Источник ^[17]