ثغرة في OpenClaw تسمح برفع صلاحيات صامت إلى مسؤول على النسخ المعرضة

Новая уязвимость в OpenClaw показала, почему вокруг самохостных AI-агентов столько тревоги: если инструменту уже дали доступ к файлам, чатам, токенам и рабочим сессиям, то ошибка в механизме управления быстро превращается не в локальный баг, а в полноценный захват всей среды. В случае CVE-2026-33579 злоумышленник мог повысить свои права до администратора и действовать от имени агента почти так же свободно, как его владелец. OpenClaw — это вирусно разошедшаяся платформа для агентных сценариев, которая запускается на машине пользователя или в своей инфраструктуре и умеет сама работать с приложениями, файлами, браузером и внешними сервисами.

Ради удобства ей обычно дают широкий набор разрешений: доступ к локальным папкам, чатам, корпоративным инструментам, API-ключам и уже авторизованным сессиям. По состоянию на начало апреля 2026 года проект собрал около 347 тысяч звезд на GitHub, и именно этот масштаб делает любую дыру в базовой модели безопасности особенно болезненной. Проблема, получившая идентификатор CVE-2026-33579, затрагивала версии OpenClaw до 2026.

3.28. По описанию NVD и GitHub Advisory, в цепочке команды /pair approve система не передавала ограничения прав того, кто подтверждает подключение нового устройства.

На практике это означало, что участник с минимальными полномочиями operator.pairing мог одобрить запрос на более широкий набор прав, включая operator.admin, и тихо превратить свое устройство в администраторское.

Исправление вошло в релиз 2026.3.28, опубликованный 29 марта 2026 года.

Оценка критичности у этой уязвимости доходила до 9,4–9,8 балла в зависимости от методики, что для такой категории ПО фактически означает полный захват инстанса. Самое неприятное в этой истории — не только сама ошибка, но и реальные условия эксплуатации. Исследователи Blink сообщили, что при сканировании 135 тысяч интернет-доступных инстансов OpenClaw около 63 процентов, то есть примерно 85 тысяч установок, отвечали на запросы к механизму pair approval без аутентификации.

Иными словами, формальное требование иметь хотя бы базовые pairing-права во многих случаях вообще не работало как барьер: сетевой доступ уже был достаточной отправной точкой. Дополнительный риск создало и окно между выходом патча 29 марта и формальной регистрацией CVE 1 апреля 2026 года. За эти два дня атакующие могли быстрее понять серьезность бага, чем многие администраторы — что именно им нужно срочно обновлять.

Последствия такого компромета для OpenClaw особенно тяжелые из-за самой природы продукта. Если агент подключен к Slack, Telegram, Discord, файловым шарам, облачным аккаунтам или внутренним системам, то администраторский доступ к инстансу дает не просто контроль над интерфейсом, а возможность читать данные, вытаскивать сохраненные учетные данные, запускать произвольные tool calls и двигаться дальше по связанным сервисам. Именно поэтому Microsoft еще 19 февраля 2026 года рекомендовала рассматривать OpenClaw как недоверенный исполняемый код с постоянными учетными данными и не запускать его на обычных рабочих или личных компьютерах.

Минимально безопасный сценарий, по версии Microsoft, — отдельная изолированная виртуальная машина, непроизводственные данные и выделенные учетные записи с минимальными правами. Для тех, кто уже использует OpenClaw, вывод сейчас предельно практический: одного обновления недостаточно. Нужно проверить журналы активности на события pair approval и появление неизвестных устройств, пересмотреть список администраторских токенов и подключений, отозвать и перевыпустить секреты, к которым агент имел доступ, а в сомнительных случаях — пересобрать инстанс в чистом окружении.

Эта история важна не только для пользователей OpenClaw. Она показывает, что у агентных AI-инструментов основная проблема лежит не в качестве ответов модели, а в доверенной зоне, в которую их запускают: чем больше прав и интеграций получает агент, тем дороже обходится любая ошибка в контроле доступа.