[Перевод] Как похитить душу агента: найден новый способ взлома OpenClaw

В 2024–2026 годах автономные AI-агенты окончательно перестали быть игрушкой для демо. Они научились читать файлы, ходить в API, выполнять команды и жить в инфраструктуре компании. Вместе с этим вырос и класс решений, которые называют «агентными оркестраторами» — прослойками между LLM и реальной средой исполнения.

OpenClaw — один из таких проектов. Он позиционируется как self-hosted шлюз для AI-агента, который можно подключить к локальной системе, мессенджерам и внутренним сервисам. На уровне архитектуры это уже не просто чат-бот, а компонент, получающий доступ к файловой системе, токенам, внешним API и инструментам.

Но чем глубже агент интегрируется в инфраструктуру, тем выше цена ошибки в его модели доверия. Недавно был найден способ атаки, который позволяет «перехватить» поведение агента и фактически переписать его намерения. Разберём, как устроен этот механизм, где именно возникает уязвимость и почему проблема лежит не в конкретной реализации, а в самой логике агентных систем.

Что произошло

Исследователи в области кибербезопасности зафиксировали случай заражения инфостилером, который успешно получил конфигурации OpenClaw (ранее Clawdbot и Moltbot) у жертвы.

Алон Гал, технический директор Hudson Rock, сообщил The Hacker News, что судя по деталям заражения, стилер был одним из видов Vida, известного с конца 2018 года.

Эксперты в сфере кибербезопасности пояснили, что злоумышленники не использовали для сбора данных специальный модуль OpenClaw. Они применяли «широкую процедуру захвата файлов», предназначенную для поиска определённых расширений файлов и каталогов с конфиденциальными данными, например:

• openclaw.json — содержит сведения о токене шлюза OpenClaw, скрытый (редактированный) адрес электронной почты жертвы и путь к рабочему пространству.

• device.json — содержит криптографические ключи для безопасного сопряжения и операций подписи в экосистеме OpenClaw.

• soul.md — содержит описание ключевых операционных принципов агента, поведенческих установок и этических ограничений.

Стоит отметить, что кража токена аутентификации шлюза может позволить злоумышленнику удалённо подключиться к локальному экземпляру OpenClaw жертвы (если соответствующий порт открыт). Или даже выдавать себя за клиента при выполнении аутентифицированных запросов к ИИ‑шлюзу.

Проблему раскрыли на фоне ранее выявленных проблем в безопасности OpenClaw. В связи с инцидентом сопровождающие открытой агентной платформы объявили о партнерстве с VirusTotal. Теперь навыки, загружаемые в ClawHub, будут проверяться на наличие вредоносного кода. Кроме того, разработчики пообещали создать модель угроз и добавить инструменты для аудита потенциальных ошибок конфигурации.

На прошлой неделе команда OpenSourceMalware подробно описала продолжающуюся кампанию по распространению вредоносных навыков через ClawHub. В ней используется новая техника обхода сканирования VirusTotal. Вредоносное ПО размещается на поддельных сайтах, имитирующих OpenClaw. Сами же навыки используются как приманка, вместо того чтобы встраивать полезную нагрузку напрямую в файлы SKILL.md.

Ещё одна проблема безопасности, на которую указала компания OX Security, касается Moltbook. Это интернет‑форум, похожий на Reddit, предназначенный исключительно для ИИ-агентов, в основном работающих на OpenClaw. Исследование обнаружило проблему: учётную запись ИИ‑агента, созданную в Moltbook, нельзя удалить.

Кроме того, анализ, опубликованный командой STRIKE Threat Intelligence компании SecurityScorecard, выявил сотни тысяч открытых экземпляров OpenClaw, что, вероятно, подвергает пользователей рискам удалённого выполнения кода (RCE).

С момента своего дебюта в ноябре 2025 года OpenClaw переживает стремительный рост популярности. На момент написания проект с открытым исходным кодом имеет более 200 000 звёзд на GitHub. 15 февраля 2026 года генеральный директор OpenAI Сэм Альтман заявил, что основатель OpenClaw Питер Штайнбергер присоединится к компании, добавив: «OpenClaw продолжит существовать в виде фонда как проект с открытым исходным кодом, который OpenAI будет и дальше поддерживать».

Подводя итоги

Случай с OpenClaw показывает не просто отдельную уязвимость, а системную проблему агентных архитектур. Чем больше автономии получает AI-агент, тем выше риск того, что атака произойдёт не на уровне инфраструктуры, а на уровне смысла — через подмену контекста и намерения.

Агент — это не детерминированная программа, а интерпретатор входных данных. Если границы между системной инструкцией, пользовательским вводом и внешним контентом размыты, он может сам выполнить то, что изначально запрещено.

Поэтому безопасность агентных систем — это уже не только про токены и sandbox, а про строгую модель доверия и контроль семантики. И этот класс атак будет возвращаться, пока мы не научимся проектировать агентов с учётом этой реальности.

НЛО прилетело и оставило здесь промокод для читателей нашего блога:

-15% на заказ любого VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.