Исследователи из Oasis Security обнаружили серьезную уязвимость в OpenClaw. Проблема, получившая название ClawJacked, позволяла вредоносному сайту незаметно подключиться к локально запущенному экземпляру OpenClaw, подобрать пароль и перехватить контроль. Патч вошел в состав версии 2026.2.26, вышедшей 26 февраля.
OpenClaw — self-hosted опенсорсный ИИ-ассистент, популярность которого резко выросла в последние месяцы. С момента запуска в ноябре 2025 года проект набрал более 240 000 звезд на GitHub. Он позволяет ИИ-агентам автономно отправлять сообщения, выполнять команды и управлять задачами на разных платформах.
Специалисты Oasis Security обнаружили уязвимость в шлюзовом сервисе OpenClaw, который по умолчанию привязывается к localhost и открывает WebSocket-интерфейс. Браузерные политики кросс-доменных запросов не блокируют WebSocket-соединения к localhost, поэтому вредоносный сайт, открытый пользователем OpenClaw, может незаметно использовать JavaScript и установить соединение с локальным шлюзом, а затем начать брутфорсить пароль.
Хотя в OpenClaw есть ограничения для защиты от брутфорса, loopback-адрес (127.0.0.1) по умолчанию исключен из них, чтобы не блокировать локальные CLI-сессии. В компании воспользовались этой особенностью и перебирали пароли со скоростью сотни попыток в секунду (без какого-либо троттлинга и логирования). Исследователи пишут:
«При такой скорости список распространенных паролей исчерпывается меньше чем за секунду, а перебор большого словаря занимает считанные минуты. У придуманного человеком пароля просто нет шансов».
После подбора пароля атакующий может зарегистрировать себя как доверенное устройство — шлюз автоматически одобряет сопряжение с localhost без подтверждения пользователя. С правами администратора злоумышленник получает полный доступ к OpenClaw и может похищать учетные данные, просматривать список подключенных узлов, читать логи приложений и так далее. Видеодемонстрацию атаки можно увидеть здесь.
По словам экспертов, на этом потенциал атаки не заканчивается. Также атакующий может инструктировать ИИ-агента искать конфиденциальные данные в истории сообщений, извлекать файлы с подключенных устройств или выполнять произвольные шелл-команды на сопряженных узлах. Фактически атака ClawJacked ведет к полной компрометации рабочей станции через одну вкладку браузера.
Специалисты Oasis Security уведомили о проблеме разработчиков OpenClaw, приложив технические детали уязвимости и PoC-код. Патч был подготовлен и выпущен в течение 24 часов. Исправление усиливает проверки безопасности WebSocket-соединений и добавляет дополнительную защиту от злоупотребления loopback-подключениями для брутфорса и перехвата сессий.
Теперь всем пользователям OpenClaw настоятельно рекомендуется обновиться до версии 2026.2.26 или новее.
