Исследователи Cyera раскрыли цепь уязвимостей в OpenClaw для взлома
Cyera выявила четыре связанные уязвимости в OpenClaw, получившие название Claw Chain. При комбинировании они позволяют злоумышленнику красть чувствительные данн
Исследователи Cyera раскрыли четыре взаимосвязанные уязвимости в OpenClaw, которые при комбинировании (получившие название Claw Chain) позволяют злоумышленнику красть данные, повышать привилегии и устанавливать backdoor для постоянного скрытого доступа к скомпрометированному хосту. Уязвимости уже пропатчены в свежих версиях продукта.
Как работает цепь уязвимостей
Четыре дефекта затрагивают OpenShell managed sandbox backend и MCP loopback runtime — критические компоненты, которые должны ограничивать доступ AI-агента к системным ресурсам и защищать операционную систему хоста от несанкционированного вмешательства. OpenClaw позиционируется как безопасная изолированная среда, где агент может выполнять задачи без риска для основной системы. Исследователи из Cyera продемонстрировали, что при правильной последовательности атак злоумышленник может вырваться из песочницы и получить полный контроль над хостом.
Уязвимости работают в связке: первая позволяет обойти одно ограничение на уровне sandbox, вторая открывает доступ к привилегированным операциям, третья расширяет права доступа, а четвёртая позволяет установить постоянный backdoor. В отдельности каждая уязвимость менее критична, но при комбинировании они создают полный сценарий полной компрометации системы. Это демонстрирует важность анализа не только отдельных дефектов, но и их взаимодействия.
Что может сделать атакующий
Успешная эксплуатация цепи Claw Chain дает злоумышленнику множество возможностей для нанесения вреда: Кража чувствительных данных из изолированной среды песочницы и основной операционной системы хоста Повышение привилегий с уровня ограниченного агента до полного администратора системы Установка persistent backdoor для скрытого доступа без какого-либо участия пользователя Боковое движение по корпоративной сети через скомпрометированный хост для атаки на соседние системы Киберпреступник может использовать эти возможности не только для краткосрочной кражи данных, но и для долгосрочной инфильтрации и мониторинга целевой организации. Постоянный backdoor особенно опасен, так как позволяет вернуться на хост в любой момент и скрыть следы атаки. При таком сценарии компании могут длительное время не подозревать о наличии неавторизованного доступа к своей инфраструктуре.
Как это было исправлено
Cyera ответственно раскрыла уязвимости разработчикам OpenClaw до публичного раскрытия информации, дав им достаточное время на разработку и тестирование патчей. Это стандартная практика в индустрии, известная как responsible disclosure. Все четыре дефекта уже пропатчены и доступны в свежих версиях продукта. Если вы используете OpenClaw в production-среде, рекомендуется немедленно обновиться на последнюю версию. Исправления тестированы и готовы к развертыванию. Параллельно стоит проверить логи на предмет подозрительной активности за период, когда система была уязвима, особенно попыток вырваться из песочницы или неожиданных операций повышения привилегий.
Что это значит
OpenClaw позиционируется как безопасная изолированная среда для запуска AI-агентов, но даже такие тщательно спроектированные системы содержат уязвимости. Это напоминает фундаментальный принцип кибербезопасности: изоляция — это не панацея, а только один слой защиты. При интеграции агентов в production нужна многоуровневая защита: контроль прав доступа, мониторинг активности в реальном времени, быстрое реагирование на патчи и регулярный security-аудит кода.