Saugumo tyrinėtojai atskleidė didelio pažeidžiamumą, pavadintą „ClawJacked“, populiarų AI agentą „OpenClaw“, kuris leido kenkėjiškajai svetainei tyliai brutaliąja prieiga prie lokaliai veikiančio egzemplioriaus ir perimti jos kontrolę.
„Oasis Security“ aptiko problemą ir pranešė apie tai „OpenClaw“, o pataisymas buvo išleistas 2026.2.26 versijoje vasario 26 d.
„OpenClaw“ yra savarankiška dirbtinio intelekto platforma, kuri pastaruoju metu labai išpopuliarėjo, nes leidžia dirbtinio intelekto agentams savarankiškai siųsti pranešimus, vykdyti komandas ir valdyti užduotis keliose platformose.
„Oasis Security“ teigimu, pažeidžiamumą sukelia „OpenClaw“ šliuzo paslauga, pagal numatytuosius nustatymus susieta su „localhost“ ir atskleidžianti „WebSocket“ sąsają.
Kadangi naršyklės kryžminės kilmės politika neblokuoja „WebSocket“ ryšių su „localhost“, kenkėjiška svetainė, kurią aplankė „OpenClaw“ vartotojas, gali naudoti „JavaScript“, kad tyliai atidarytų ryšį su vietiniu šliuzu ir bandytų autentifikuoti, nesukeldama jokių įspėjimų.
Nors „OpenClaw“ apima greičio ribojimą, kad būtų išvengta žiaurios jėgos atakų, atgalinio ryšio adresas (127.0.0.1) pagal numatytuosius nustatymus yra atleistas, todėl vietiniai CLI seansai nėra per klaidą užrakinami.
Tyrėjai išsiaiškino, kad jie gali žiauriai priverstinai priversti „OpenClaw“ valdymo slaptažodį šimtais bandymų per sekundę, o nesėkmingi bandymai nebūtų užblokuojami ar registruojami. Atspėjęs teisingą slaptažodį, užpuolikas gali tyliai užsiregistruoti kaip patikimas įrenginys, nes šliuzas automatiškai patvirtina įrenginių poravimą iš „localhost“, nereikalaujant vartotojo patvirtinimo.
„Atlikdami laboratorinius tyrimus pasiekėme pastovų greitį šimtai slaptažodžių spėjimų per sekundę iš naršyklės „JavaScript“, – aiškina „Oasis“.
„Tokiu greičiu įprastų slaptažodžių sąrašas išnaudojamas mažiau nei per sekundę, o didelis žodynas užtruktų tik kelias minutes. Žmogaus pasirinktas slaptažodis neturi jokios galimybės.”
Turėdamas autentifikuotą sesiją ir administratoriaus leidimus, užpuolikas dabar gali tiesiogiai bendrauti su AI platforma, išmesdamas kredencialus, įtraukdamas prijungtų mazgų sąrašą, vogdamas kredencialus ir skaitydamas programų žurnalus.
„Oasis“ teigia, kad tai gali leisti užpuolikui nurodyti agentui ieškoti slaptos informacijos pranešimų istorijose, išfiltruoti failus iš prijungtų įrenginių arba vykdyti savavališkas apvalkalo komandas suporuotuose mazguose, todėl iš naršyklės skirtuko suaktyvinamas visas darbo vietos pažeidimas.
„Oasis“ pasidalijo šios atakos demonstravimu, parodydama, kaip ji gali būti naudojama slaptiems duomenims pavogti naudojant „OpenClaw“ pažeidžiamumą.
„Oasis“ pranešė apie problemą „OpenClaw“, įskaitant techninę informaciją ir koncepcijos įrodymo kodą, ir ji buvo išspręsta per 24 valandas nuo atskleidimo.
Pataisa sugriežtina „WebSocket“ saugos patikras ir prideda papildomų apsaugos priemonių, kad užpuolikai nepiktnaudžiautų vietinės prieglobos atgalinio ryšio ryšiais prie žiaurios jėgos prisijungimų ar užgrobimo seansų, net jei tie ryšiai sukonfigūruoti taip, kad jiems netaikomas greičio ribojimas.
Organizacijos ir kūrėjai, kuriuose veikia OpenClaw, turėtų nedelsdami atnaujinti į 2026.2.26 ar naujesnę versiją, kad jų įrenginiai nebūtų užgrobti.
Dėl didžiulio OpenClaw populiarumo saugumo tyrinėtojai daugiausia dėmesio skyrė pažeidžiamumui ir atakoms, nukreiptoms į platformą, nustatyti.
Buvo pastebėta, kad grėsmės veikėjai piktnaudžiauja „ClawHub“ OpenClaw įgūdžių saugykla, kad skatintų kenkėjiškus įgūdžius, kurie diegia informacijos vagystę kenkėjiškas programas arba apgaudinėja vartotojus, kad jie savo įrenginiuose paleistų kenkėjiškas komandas.
Kenkėjiškos programos tampa išmanesnės. „Red Report 2026“ atskleidžia, kaip naujos grėsmės naudoja matematiką, kad aptiktų smėlio dėžes ir pasislėptų matomoje vietoje.
Atsisiųskite mūsų 1,1 milijono kenkėjiškų pavyzdžių analizę, kad sužinotumėte 10 geriausių metodų ir sužinotumėte, ar jūsų saugos paketas yra apakintas.
