«Ваш ШІ? Тепер це мій ШІ». Цю фразу вимовив Етай Маор, віце-президент з аналізу загроз у Cato Networks, під час ексклюзивного інтерв’ю з VentureBeat на RSAC 2026. Вона точно описує ситуацію, коли екземпляр OpenClaw британського CEO опинився на продаж на BreachForums. Маор стверджує, що індустрія надала ШІ-агентам такий рівень автономії, який ніколи б не була надана людині-співробітнику, відкинувши принципи нульової довіри, найменших привілеїв та припущення про компрометацію.
Докази з’явилися на BreachForums за три тижні до інтерв’ю Маора. 22 лютого зловмисник під ніком «fluffyduck» опублікував оголошення про продаж доступу root shell до комп’ютера CEO за 25 000 доларів у Monero або Litecoin. Але саме екземпляр OpenClaw, персональний помічник на базі ШІ, був головним предметом продажу. Покупець отримував усі розмови CEO зі штучним інтелектом, повну виробничу базу даних компанії, токени Telegram-ботів, ключі API Trading 212 та особисті дані, якими CEO ділився з помічником щодо сім’ї та фінансів. Зловмисник зазначив, що CEO активно взаємодіяв з OpenClaw у реальному часі, перетворюючи оголошення на “живу стрічку розвідданих”, а не на статичний витік інформації.
Старший дослідник безпеки Cato CTRL Віталій Симонович задокументував це оголошення 25 лютого. Екземпляр OpenClaw CEO зберігав усі дані у файлах формату Markdown у відкритому вигляді в каталозі ~/.openclaw/workspace/ без шифрування. Зловмиснику навіть не довелося викрадати дані – CEO вже сам зібрав їх. Коли команда безпеки виявила компрометацію, жодного вбудованого механізму екстреного припинення роботи (kill switch) для корпоративного середовища, жодної консолі управління та жодного способу інвентаризації кількості запущених екземплярів у мережі організації не існувало.
OpenClaw працює локально, маючи прямий доступ до файлової системи хост-машини, мережевих з’єднань, браузерних сесій та встановлених програм. Дотеперішнє висвітлення зосереджувалося на швидкості його поширення, але не охоплювало поверхню атаки. Чотири постачальники, які представили свої рішення на RSAC 2026, досі не запропонували єдиний необхідний для підприємств контроль – нативний kill switch.
Поверхня атаки за статистикою
|
Метрика |
Показники |
Джерело |
|
Екземпляри, доступні з Інтернету |
~500 000 (станом на 24 березня) |
Етай Маор, Cato Networks (ексклюзивне інтерв’ю RSAC 2026) |
|
Виявлені екземпляри з ризиками безпеки |
Понад 30 000 під час сканування |
Bitsight |
|
Можливість експлуатації через відомі RCE (віддалене виконання коду) |
15 200 екземплярів |
SecurityScorecard |
|
Уразливості високого ступеня небезпеки (CVE) |
3 (найвищий CVSS: 8.8) |
NVD (24763, 25157, 25253) |
|
Шкідливі “навички” (skills) на ClawHub |
341 в аудиті Koi (335 від ClawHavoc); 824 до середини лютого |
Koi |
|
Навички ClawHub з критичними недоліками |
13.4% з 3 984 проаналізованих |
Snyk |
|
Викриті API-токени (Moltbook) |
1.5 мільйона |
Wiz |
Під час ексклюзивного інтерв’ю VentureBeat на RSAC 2026 Маор провів перевірку в реальному часі за допомогою Censys. «За перший тиждень після виходу з’явилося близько 6 300 екземплярів. Минулого тижня я перевірив: 230 000 екземплярів. Давайте перевіримо зараз… майже півмільйона. Майже подвоїлося за тиждень», – розповів Маор. Атакувальну поверхню визначають три уразливості високого ступеня небезпеки: CVE-2026-24763 (CVSS 8.8, виконання команд через обробку шляху Docker), CVE-2026-25157 (CVSS 7.7, виконання команд ОС) та CVE-2026-25253 (CVSS 8.8, викрадення токенів з повним компрометуванням шлюзу). Усі три CVE були виправлені, але OpenClaw не має корпоративної площини управління, централізованого механізму встановлення патчів та загальномережевого kill switch. Адміністратори повинні оновлювати кожен екземпляр вручну, але більшість цього не зробили.
Телеметрія з боку захисту не менш тривожна. Сенсори CrowdStrike Falcon вже виявляють понад 1 800 різних ШІ-додатків у мережах клієнтів – від ChatGPT до Copilot та OpenClaw – генеруючи близько 160 мільйонів унікальних екземплярів на корпоративних кінцевих точках. ClawHavoc, шкідливий “навичка”, розповсюджуваний через ринок ClawHub, став основним прикладом у OWASP Agentic Skills Top 10. Генеральний директор CrowdStrike Джордж Куртц відзначив це у своїй ключовій доповіді на RSAC 2026 як першу велику атаку на ланцюжок поставок у екосистемі ШІ-агентів.
ШІ-агенти отримали root-доступ. Безпека – нічого.
Під час інтерв’ю на RSAC 2026 Маор описав провал у видимості через цикл OODA (спостерігай, орієнтуйся, вирішуй, діяти). Більшість організацій зазнають невдачі на першому етапі: команди безпеки не можуть побачити, які інструменти ШІ працюють у їхніх мережах, що означає, що інструменти продуктивності, які приносять співробітники, тихо стають “тіньовим ШІ”, яким користуються зловмисники. Оголошення на BreachForums довело кінцевий результат. Екземпляр OpenClaw CEO перетворився на централізований центр розвідки з сесіями SSO, сховищами облікових даних та історією комунікацій, агрегованими в одному місці. «Помічник CEO може стати вашим помічником, якщо ви купите доступ до цього комп’ютера», – сказав Маор VentureBeat. «Це помічник для зловмисника».
«Примарні агенти» (Ghost agents) посилюють ризик. Організації впроваджують інструменти ШІ, проводять пілотні проекти, втрачають інтерес і рухаються далі – залишаючи агентів працювати з неушкодженими обліковими даними. «Нам потрібен HR-підхід до агентів. Онбординг, моніторинг, офбординг. Якщо немає бізнес-обґрунтування? Видалення», – сказав Маор. «Ми не залишаємо жодних “примарних агентів” у нашій мережі, тому що це вже відбувається».
Cisco розробила kill switch для OpenClaw
Президент і директор з продуктового розвитку Cisco Джіту Пател окреслив ставки під час ексклюзивного інтерв’ю VentureBeat на RSAC 2026. «Я думаю про них скоріше як про підлітків. Вони надзвичайно розумні, але не відчувають страху перед наслідками», – сказав Пател про ШІ-агентів. «Різниця між делегуванням і довіреним делегуванням завдань агенту… одне призводить до банкрутства, інше – до домінування на ринку».
Cisco випустила три безкоштовні інструменти безпеки з відкритим кодом для OpenClaw на RSAC 2026. DefenseClaw об’єднує Skills Scanner, MCP Scanner, AI BoM і CodeGuard в єдину структуру з відкритим кодом, що працює в середовищі NVIDIA OpenShell, яке NVIDIA представила на GTC за тиждень до RSAC. «Щоразу, коли ви активуєте агента в контейнері Open Shell, ви можете автоматично ініціювати всі сервіси безпеки, які ми створили через Defense Claw», – сказав Пател. AI Defense Explorer Edition – це безкоштовна версія двигуна алгоритмічного червоного тестування Cisco, що тестує будь-яку ШІ-модель або агента на стійкість до ін’єкцій запитів (prompt injection) та обходу обмежень (jailbreaks) за більш ніж 200 підкатегоріями ризиків. LLM Security Leaderboard ранжує базові моделі за стійкістю до атак, а не за показниками продуктивності. Cisco також представила Duo Agentic Identity для реєстрації агентів як об’єктів ідентичності з обмеженими часовими дозволами, Identity Intelligence для виявлення “тіньових агентів” шляхом моніторингу мережі, та Agent Runtime SDK для вбудовування реалізації політик під час розробки.
Palo Alto виділила агентні кінцеві точки в окрему категорію безпеки
Генеральний директор Palo Alto Networks Нікеш Арора охарактеризував інструменти класу OpenClaw як такі, що створюють новий ланцюжок поставок через нерегульовані, незахищені ринки під час ексклюзивного брифінгу для VentureBeat 18 березня перед RSA. Koi виявив 341 шкідливий “навичку” на ClawHub під час свого початкового аудиту, загальна кількість яких зросла до 824. Snyk виявив, що 13.4% проаналізованих “навичок” містять критичні недоліки безпеки. Palo Alto Networks розробила Prisma AIRS 3.0 на основі нового реєстру агентів, який вимагає реєстрації кожного агента перед початком роботи, забезпечуючи перевірку облікових даних, контроль трафіку через MCP gateway, червоне тестування агентів та моніторинг у реальному часі для виявлення отруєння пам’яті. Майбутнє придбання Koi додасть видимості ланцюжка поставок спеціально для агентних кінцевих точок.
Cato CTRL надала докази атак
Підрозділ аналізу загроз Cato Networks, Cato CTRL, представив дві доповіді на RSAC 2026. Звіт Cato CTRL Threat Report 2026, опублікований окремо, містить доказ концепції атаки “Living Off AI” на Atlassian MCP та Jira Service Management. Дослідження Маора надає незалежну доказову валідацію, яку продуктові анонси постачальників не можуть надати самостійно. Платформні постачальники створюють управління для санкціонованих агентів. Cato CTRL задокументував, що відбувається, коли несанкціонований агент на ноутбуці CEO продається в даркнеті.
План дій на понеділок
Незалежно від набору рішень постачальників, чотири контролі застосовуються негайно: прив’язати OpenClaw лише до localhost та заблокувати зовнішній доступ до портів, забезпечити білий список додатків через MDM (систему керування мобільними пристроями) для запобігання несанкціонованим встановленням, обернути всі облікові дані на машинах, де працював OpenClaw, та застосувати принцип найменших привілеїв до будь-якого облікового запису, до якого торкався ШІ-агент.
-
Виявіть інсталяційну базу. Сенсор CrowdStrike Falcon, платформа SASE від Cato та Cisco Identity Intelligence виявляють “тіньовий ШІ”. Для команд без преміальних інструментів запитуйте кінцеві точки на наявність каталогу ~/.openclaw/ за допомогою нативних EDR (системи виявлення та реагування на кінцевих точках) або політик пошуку файлів MDM. Якщо підприємство взагалі не має видимості кінцевих точок, використовуйте запити Shodan та Censys до корпоративних діапазонів IP-адрес.
-
Встановіть патч або ізолюйте. Перевірте кожен виявлений екземпляр на відповідність CVE-2026-24763, CVE-2026-25157 та CVE-2026-25253. Екземпляри, які неможливо оновити, слід ізолювати від мережі. Загальномережевого механізму патчування не існує.
-
Аудит встановлених “навичок”. Перегляньте встановлені “навички” за допомогою Cisco Skills Scanner або досліджень Snyk та Koi. Будь-які “навички” з неперевірених джерел слід негайно видалити.
-
Застосуйте контроль DLP (захист від витоку даних) та ZTNA (мережі нульової довіри). Контролі ZTNA від Cato обмежують незатверджені ШІ-додатки. Cisco Secure Access SSE застосовує політику до викликів інструментів MCP. Prisma Access Browser від Palo Alto контролює потік даних на рівні браузера.
-
Видаліть “примарних агентів”. Створіть реєстр кожного запущеного ШІ-агента. Документуйте бізнес-обґрунтування, відповідальну особу, облікові дані та доступні системи. Відкликайте облікові дані для агентів без обґрунтування. Повторюйте щотижня.
-
Розгорніть DefenseClaw для санкціонованого використання. Запускайте OpenClaw у середовищі NVIDIA OpenShell за допомогою Cisco DefenseClaw для сканування “навичок”, перевірки серверів MCP та автоматичного інструментування поведінки в реальному часі.
-
Проведіть червоне тестування перед розгортанням. Використовуйте Cisco AI Defense Explorer Edition (безкоштовно) або червоне тестування агентів Palo Alto Networks у Prisma AIRS 3.0. Тестуйте робочий процес, а не лише модель.
OWASP Agentic Skills Top 10, опублікований з ClawHavoc як основним прикладом, надає стандартну основу для оцінки цих ризиків. Чотири постачальники представили свої рішення на RSAC 2026. Жодне з них не є нативним корпоративним kill switch для несанкціонованих розгортань OpenClaw. Доки таке не з’явиться, наведений вище план дій на понеділок – це найближче до нього.
Як захиститися (Порада ІТ-Блогу): Не надавайте ШІ-інструментам, особливо тим, що працюють локально, доступу до критично важливих даних або систем без належного контролю доступу та моніторингу. Завжди перевіряйте джерело та безпеку будь-якого програмного забезпечення, перш ніж встановлювати його на корпоративних пристроях, і використовуйте надійну двофакторну автентифікацію.
Джерело новини: venturebeat.com