Исследователи Oasis Security обнаружили критическую уязвимость в популярной ИИ-платформе OpenClaw, которая позволяет вредоносным сайтам тихо захватывать локальные установки через браузер. Атака получила кодовое имя ClawJacked.
OpenClaw — самохостинговая платформа для ИИ-агентов, которая резко набрала популярность благодаря способности автономно отправлять сообщения, выполнять команды и управлять задачами на разных платформах. Сейчас её используют тысячи разработчиков и компаний для автоматизации рабочих процессов.
Как работает атака
Уязвимость кроется в том, как OpenClaw настраивает свой gateway-сервис. По умолчанию он привязывается к localhost и открывает WebSocket-интерфейс. Проблема в том, что браузеры не блокируют WebSocket-подключения к localhost — это считается безопасным.
Злоумышленник может создать вредоносный сайт с JavaScript-кодом, который при посещении жертвой тихо подключается к локальному gateway OpenClaw и начинает брутфорсить пароль. Никаких предупреждений пользователь не увидит.
Хуже того — OpenClaw исключает локальные подключения (127.0.0.1) из ограничений по частоте попыток входа. Это сделано для удобства CLI-сессий, но создаёт дыру в безопасности.
«В наших лабораторных тестах мы достигли скорости сотен попыток подбора пароля в секунду прямо из JavaScript в браузере», — объясняют исследователи Oasis. — «На такой скорости список популярных паролей перебирается за секунду, а большой словарь — за минуты».
Полный контроль за минуты
После успешного подбора пароля атакующий получает полные права администратора. Gateway автоматически одобряет сопряжение устройств с localhost без подтверждения пользователя.
С этими правами злоумышленник может:
- Извлекать учётные эти из платформы
- Просматривать список подключённых узлов
- Читать логи приложений
- Заставлять ИИ-агента искать конфиденциальную информацию в переписках
- Выполнять произвольные команды на подключённых устройствах
Фактически это означает полную компрометацию рабочей станции — и всё это запускается простым переходом на вредоносный сайт.
Что делать
OpenClaw исправил уязвимость в версии 2026.2.26, выпущенной 26 февраля — через 24 часа после получения отчёта от Oasis Security. Патч ужесточает проверки безопасности WebSocket и добавляет защиту от злоупотребления localhost-подключениями.
Всем пользователям OpenClaw необходимо немедленно обновиться до версии 2026.2.26 или новее. Учитывая популярность платформы, можно ожидать, что злоумышленники быстро адаптируют эту технику атак.
Это уже не первая проблема с безопасностью OpenClaw — ранее исследователи находили вредоносные навыки в репозитории ClawHub, которые устанавливали стилеры или обманом заставляли пользователей выполнять опасные команды.
