ИБ-специалисты зафиксировали первый реальный случай кражи конфигурационных файлов ИИ-агента OpenClaw. Такие файлы содержат API-ключи, токены аутентификации и другие секреты.
OpenClaw (ранее ClawdBot и MoltBot) — локально работающий фреймворк для запуска ИИ-агентов. Он хранит на машине пользователя постоянную конфигурацию и память, имеет доступ к локальным файлам, может входить в почтовые приложения и мессенджеры, а также взаимодействовать с внешними сервисами. Благодаря своим широким возможностям и удобству инструмент набрал более 200 000 звезд на GitHub, а его создателя Питера Штайнбергера (Peter Steinberger) пригласили работать в компанию OpenAI.
Однако мы уже не раз писали о том, что ИБ-специалисты называют OpenClaw настоящим кошмаром с точки зрения безопасности. Еще в прошлом месяце эксперты компании Hudson Rock предупреждали, что скоро OpenClaw обязательно станет главной целью для инфостилеров из-за обилия конфиденциальных данных в конфигурационных файлах при достаточно слабой защите. К сожалению, этот прогноз уже воплотился в жизнь.
Исследователи Hudson Rock обнаружили, что стилер успешно похитил конфигурацию OpenClaw у одной из жертв. По данным специалистов, речь идет о варианте малвари Vidar, и кража данных произошла 13 февраля 2026 года.
«Это важный рубеж в эволюции поведения инфостилеров: переход от кражи браузерных учетных данных к похищению "душ" и личных данных из персональных ИИ-агентов», — пишут в компании.
Примечательно, что Vidar не охотился за данными OpenClaw целенаправленно. Малварь запустила обычную процедуру сбора файлов, сканируя директории в поисках таких ключевых слов, как «token» и «private key». Файлы в папке .openclaw содержали нужные строки.
Стилер похитил несколько файлов, включая:
• Openclaw.json — хранит email-адрес жертвы (в замаскированном виде), путь к рабочей директории и токен аутентификации шлюза с высокой энтропией. Потенциально этот токен позволяет подключиться к локальному инстансу OpenClaw или имитировать легитимного клиента в аутентифицированных запросах.
• Device.json — содержит publicKeyPem и privateKeyPem, используемые для привязки и подписи. Получив приватный ключ, атакующий может подписывать сообщения от имени устройства жертвы, обходить проверки Safe Device, а также получать доступ к зашифрованным логам и облачным сервисам, привязанным к устройству.
• Soul.md и файлы памяти (AGENTS.md, MEMORY.md) — определяют поведение агента и накапливают персистентный контекст: логи повседневной активности, личную переписку, записи из календаря.
Исследователи подчеркивают, что похищенных данных вполне достаточно для полной компрометации цифровой личности жертвы. В компании предупреждают: по мере того как OpenClaw глубже интегрируется в рабочие процессы, стилеры будут все активнее нацеливаться на ИИ-агентов, используя более точечные механизмы для сбора данных.
