Зловмисник вбудовує єдину інструкцію в пересланий електронний лист. Агент OpenClaw підсумовує цей лист як частину звичайного завдання. Прихована інструкція наказує агенту переслати облікові дані на зовнішній кінцевий пункт. Агент виконує це через санкціонований виклик API, використовуючи власні OAuth-токени.
Брандмауер реєструє HTTP 200. EDR записує нормальний процес. Жоден підпис не спрацьовує. Нічого не пішло не так за жодним визначенням, яке розуміє ваш стек безпеки. Ось у чому проблема. Шість незалежних команд безпеки випустили шість інструментів захисту OpenClaw за 14 днів. Три поверхні атаки пережили кожен з них.
Картина вразливостей вже гірша, ніж знає більшість команд безпеки. Token Security виявила, що 22% її корпоративних клієнтів мають співробітників, які використовують OpenClaw без дозволу ІТ, а Bitsight за два тижні нарахував понад 30 000 загальнодоступних екземплярів, порівняно з приблизно 1000. Аудит ToxicSkills від Snyk додає ще один вимір: 36% усіх навичок ClawHub містять недоліки безпеки.
Джеймісон О’Рейлі, засновник Dvuln і нині радник з безпеки проекту OpenClaw, був одним із дослідників, які найактивніше просували виправлення зсередини. Його дослідження витоку облікових даних на відкритих екземплярах було одним із перших попереджень, які отримала спільнота. Відтоді він безпосередньо працював із засновником Пітером Штейнбергером над випуском двошарового виявлення шкідливих навичок і зараз просуває пропозицію щодо специфікації можливостей через орган стандартизації agentkills.
Команда чітко усвідомлює прогалини в безпеці, сказав він VentureBeat. «Він не був розроблений з нуля, щоб бути максимально безпечним», — сказав О’Рейлі. «Це зрозуміло, враховуючи походження, і ми беремо на себе відповідальність без виправдань».
Жодне з цих зусиль не усуває три найважливіші прогалини.
Три поверхні атаки, які ваш стек не може побачити
Перша — це витік семантичної інформації під час виконання. Атака кодує шкідливу поведінку в значенні, а не в бінарних патернах, що саме по собі не може побачити поточний стек захисту.
Palo Alto Networks зіставила OpenClaw з кожною категорією OWASP Top 10 для агентних додатків і визначила те, що дослідник безпеки Саймон Віллісон називає «смертельною трійкою»: доступ до приватних даних, виявлення недовіреного вмісту та можливості зовнішньої комунікації в одному процесі. EDR контролює поведінку процесу. Поведінка агента виглядає нормальною, тому що вона є нормальною. Облікові дані справжні, а виклики API санкціоновані, тому EDR сприймає це як роботу авторизованого користувача, який виконує очікувані завдання. Ніщо в поточній екосистемі безпеки не відстежує, що агент вирішив зробити з цим доступом, або чому.
Друга — це витік контексту між агентами. Коли кілька агентів або навичок ділять контекст сесії, ін’єкція підказок в одному каналі отруює рішення по всьому ланцюжку. Дослідники Giskard продемонстрували це в січні 2026 року, показавши, що агенти мовчки додавали інструкції, контрольовані зловмисниками, до своїх файлів робочої області та чекали команд із зовнішніх серверів. Впроваджена підказка стає прихованим корисним навантаженням. Дослідники Palo Alto Networks Сайлеш Мішра та Шон П. Морган попередили, що постійна пам’ять перетворює ці атаки на станні, відкладені ланцюжки виконання. Шкідлива інструкція, прихована в пересланому повідомленні, залишається в контексті агента тижнями, активуючись під час незалежного завдання.
О’Рейлі визначив витік контексту між агентами як найскладнішу з цих прогалин для усунення. «Цей випадок особливо складний, оскільки він тісно пов’язаний з ін’єкцією підказок, системною вразливістю, яка є набагато більшою за OpenClaw і впливає на кожну агентну систему на основі LLM у галузі», — сказав він VentureBeat. «Коли контекст безконтрольно передається між агентами та навичками, одна впроваджена підказка може отруїти або захопити поведінку по всьому ланцюжку». Жоден інструмент у поточній екосистемі не забезпечує ізоляцію контексту між агентами. IronClaw пісочнить виконання окремих навичок. ClawSec контролює цілісність файлів. Жоден не відстежує, як контекст поширюється між агентами в одному робочому процесі.
Третя — це ланцюжки довіри від агента до агента без взаємної автентифікації. Коли агенти OpenClaw делегують завдання іншим агентам або зовнішнім серверам MCP, між ними не існує перевірки ідентичності. Компрометований агент у багатоагентному робочому процесі успадковує довіру кожного агента, з яким він спілкується. Компрометуйте один за допомогою ін’єкції підказок, і він може видавати інструкції кожному агенту в ланцюжку, використовуючи відносини довіри, які вже побудував легітимний агент.
Команда безпеки Microsoft опублікувала в лютому рекомендації, називаючи OpenClaw виконанням недовіреного коду з постійними обліковими даними, зазначаючи, що середовище виконання приймає недовірений текст, завантажує та виконує навички із зовнішніх джерел і виконує дії, використовуючи будь-які наявні облікові дані. Оцінка корпоративних ризиків Kaspersky додала, що навіть агенти на особистих пристроях загрожують безпеці організації, оскільки ці пристрої зберігають конфігурації VPN, токени браузера та облікові дані для корпоративних служб. Соціальна мережа Moltbook для агентів OpenClaw вже продемонструвала ризик розливу: дослідники Wiz виявили неправильно налаштовану базу даних, яка розкрила 1,5 мільйона токенів автентифікації API та 35 000 адрес електронної пошти.
Що закрило 14 днів екстреного виправлення
Екосистема безпеки розділилася на три підходи. Два інструменти зміцнюють OpenClaw на місці. ClawSec від Prompt Security (компанія SentinelOne) оточує агентів безперервною верифікацією, контролюючи критичні файли на предмет змін та застосовуючи відмову за замовчуванням для вихідного трафіку (zero-trust egress). Інтеграція OpenClaw з VirusTotal, випущена спільно спільно Штейнбергером, О’Рейлі та Бернардо Кінтеро з VirusTotal, сканує кожну опубліковану навичку ClawHub та блокує відомі шкідливі пакети.
Два інструменти є повними архітектурними перебудовами. IronClaw, reimplementation NEAR AI на Rust, запускає всі недовірені інструменти в пісочницях WebAssembly, де код інструменту починає без будь-яких дозволів і повинен явно запитувати доступ до мережі, файлової системи або API. Облікові дані вставляються на межі хоста та ніколи не торкаються коду агента, а вбудоване виявлення витоків сканує запити та відповіді. Carapace, незалежний проект з відкритим кодом, інвертує всі небезпечні налаштування OpenClaw за замовчуванням з автентифікацією fail-closed та пісочницею підпроцесів на рівні ОС.
Два інструменти зосереджені на скануванні та аудиторії: сканер Cisco з відкритим кодом поєднує статичний, поведінковий та семантичний LLM-аналіз, тоді як NanoClaw зводить весь кодовий базис приблизно до 500 рядків TypeScript, запускаючи кожен сеанс в ізольованому контейнері Docker.
О’Рейлі прямо описав збій у ланцюжку поставок. «Зараз індустрія фактично створила новий формат виконуваних файлів, написаний звичайною людською мовою, і забула всі елементи контролю, які повинні з ним йти», — сказав він. Його відповіддю була безпосередня участь. Він випустив інтеграцію VirusTotal ще до того, як skills.sh, набагато більший репозиторій, прийняв подібний шаблон. Аудит Koi Security підтверджує терміновість: 341 шкідлива навичка, виявлена на початку лютого, зросла до 824 з 10 700 на ClawHub до середини місяця, а кампанія ClawHavoc розгорнула Atomic Stealer macOS infostealer всередині навичок, замаскованих під інструменти для торгівлі криптовалютами, збираючи криптовалютні гаманці, облікові дані SSH та паролі браузера.
Матриця оцінки безпеки OpenClaw
|
Вимір |
ClawSec |
Інтеграція VirusTotal |
IronClaw |
Carapace |
NanoClaw |
Сканер Cisco |
|
Виявлення |
Тільки агенти |
Тільки ClawHub |
Ні |
mDNS сканування |
Ні |
Ні |
|
Захист під час виконання |
Відхилення конфігурації |
Ні |
Пісочниця WASM |
Пісочниця ОС + захист підказок |
Ізоляція контейнерів |
Ні |
|
Ланцюжок постачання |
Перевірка контрольної суми |
Сканування підписів |
Надання можливостей |
Підписано Ed25519 |
Ручний аудит (~500 LOC) |
Статичний + LLM + поведінковий |
|
Ізоляція облікових даних |
Ні |
Ні |
Ін’єкція на межі WASM |
Сховище ключів ОС + AES-256-GCM |
Директорії з обмеженим доступом |
Ні |
|
Аудитоздатність |
Журнали відхилень |
Результати сканування |
Журнали надання дозволів |
Prometheus + журнал аудиту |
Загалом 500 рядків |
Звіти про сканування |
|
Семантичний моніторинг |
Ні |
Ні |
Ні |
Ні |
Ні |
Ні |
Джерело: Аналіз VentureBeat на основі опублікованої документації та аудитів безпеки, березень 2026 р.
Специфікація можливостей, яка розглядає навички як виконувані файли
О’Рейлі подав оновлення специфікації навичок до maintainers agentkills, яке очолюють головним чином Anthropic і Vercel, і яке активно обговорюється. Пропозиція вимагає, щоб кожна навичка явно оголошувала можливості, видимі користувачеві, перед виконанням. Уявіть собі маніфести дозволів мобільних додатків. Він зазначив, що пропозиція отримує сильну початкову реакцію від спільноти безпеки, оскільки вона нарешті розглядає навички як виконувані файли, якими вони є.
«Дві інші прогалини можуть бути суттєво посилені кращими примітивами ізоляції та захисними механізмами під час виконання, але справжнє усунення витоку контексту вимагає глибоких архітектурних змін у тому, як обробляється пам’ять та підказки між недовіреними агентами», — сказав О’Рейлі. «Нова специфікація можливостей є першим реальним кроком до проактивного вирішення цих проблем, а не пізнього накладання латок».
Що робити в понеділок вранці
Припускайте, що OpenClaw вже присутній у вашому середовищі. Ставка тіньового розгортання в 22% є мінімальною. Ці шість кроків закривають те, що можна закрити, і документують те, що не можна.
-
Інвентаризуйте, що запущено. Скануйте трафік WebSocket на порту 18789 та широкомовні передачі mDNS на порту 5353. Відстежуйте корпоративні журнали автентифікації на предмет реєстрації нових App ID, подій згоди OAuth та рядків User-Agent Node.js. Будь-який екземпляр, що працює з версією до v2026.2.25, вразливий до віддаленого захоплення ClawJacked.
-
Вимагайте ізольованого виконання. Жоден агент не повинен працювати на пристрої, підключеному до виробничої інфраструктури. Вимагайте розгортання на основі контейнерів з обмеженими обліковими даними та явними білими списками інструментів.
-
Розгорніть ClawSec на кожному екземплярі агента та запускайте кожну навичку ClawHub через VirusTotal та безкоштовний сканер відкритого коду Cisco перед встановленням. Обидва безкоштовні. Ставтеся до навичок як до сторонніх виконуваних файлів, тому що це саме те, чим вони є.
-
Вимагайте схвалення людиною для конфіденційних дій агента. Налаштування схвалення виконання OpenClaw підтримують три режими: безпека, запит і білий список. Встановіть конфіденційні інструменти в режим запиту, щоб агент зупинявся та вимагав підтвердження перед виконанням команд оболонки, записом до зовнішніх API або зміною файлів поза його робочою областю. Будь-яка дія, що стосується облікових даних, змінює конфігурації або надсилає дані на зовнішній кінцевий пункт, повинна зупинятися та чекати на схвалення людини.
-
Відобразіть три прогалини, що залишилися, на вашому реєстрі ризиків. Документуйте, чи приймає ваша організація, пом’якшує чи блокує кожну з них: витік семантичної інформації під час виконання, витік контексту між агентами та ланцюжки довіри від агента до агента.
-
Надайте таблицю оцінки на наступній нараді правління. Представте її не як експеримент зі ШІ, а як критичне обходження ваших існуючих інвестицій у DLP та IAM. Кожна наступна агентна платформа ШІ зіткнеться з таким самим циклом захисту. Ця система перенесеться на всі агентні інструменти, які ваша команда оцінюватиме протягом наступних двох років.
Стек безпеки, який ви побудували для додатків та кінцевих точок, виявляє шкідливий код. Він не виявляє агента, який виконує шкідливу інструкцію через легітимний виклик API. Саме там знаходяться ці три прогалини.
Як захиститися (Порада ІТ-Блогу): Щоб мінімізувати ризик витоку облікових даних через OpenClaw, завжди використовуйте двофакторну автентифікацію (2FA) для доступу до критично важливих корпоративних систем, навіть якщо агент здається надійним. Регулярно переглядайте та відкликайте дозволи, надані додаткам та агентам, зокрема тим, що працюють з API, щоб обмежити потенційну шкоду в разі компрометації.
За матеріалами: venturebeat.com