ИБ-исследователи из компании Cyera раскрыли сразу четыре уязвимости в OpenClaw, которые можно объединить в полноценную цепочку атаки, названную Claw Chain. По словам специалистов, баги позволяют атакующему закрепиться в системе, похитить конфиденциальные данные и получить устойчивый контроль над зараженной машиной.
В своем отчете исследователи рассказывают о следующих уязвимостях:
- CVE-2026-44112 (9,6 балла по шкале CVSS) — TOCTOU-баг (time-of-check/time-of-use) в OpenShell, позволяющий обходить ограничения песочницы и записывать файлы за пределами разрешенного каталога;
- CVE-2026-44113 (7,7 балла по шкале CVSS) — аналогичная TOCTOU-уязвимость для чтения файлов вне песочницы;
- CVE-2026-44115 (8,8 балла по шкале CVSS) — ошибка в механизме фильтрации команд, позволяющая внедрять shell expansion-токены в heredoc и выполнять неразрешенные команды во время исполнения;
- CVE-2026-44118 (7,8 балла по шкале CVSS) — баг контроля доступа, из-за которого локальный клиент мог выдавать себя за владельца агента и получать расширенные привилегии.
Как объясняют специалисты, проблема CVE-2026-44112 позволяет злоумышленнику менять конфигурацию OpenClaw, устанавливать бэкдоры и добиваться устойчивого присутствия в системе. В свою очередь CVE-2026-44113 дает возможность читать системные файлы, учетные данные и внутренние артефакты.
В результате полная цепочка атаки выглядит так:
- вредоносный плагин, промпт-инжект или скомпрометированный внешний input обеспечивают выполнение кода внутри OpenShell;
- CVE-2026-44113 и CVE-2026-44115 используются для кражи секретов, API-ключей и конфиденциальных файлов;
- затем через CVE-2026-44118 атакующий получает доступ к рантайму агента на уровне владельца;
- финальный этап — эксплуатация CVE-2026-44112 для установки бэкдоров и закрепления в системе.
Особенно опасной исследователи называют проблему CVE-2026-44118. Дело в том, что OpenClaw доверял клиентскому флагу senderIsOwner, который определял, имеет ли пользователь доступ к инструментам, предназначенным только для владельца. При этом значение никак не проверялось на стороне сервера и фактически могло быть подделано.
Разработчики OpenClaw сообщили, что уже устранили проблему: теперь система использует отдельные bearer-токены для owner- и non-owner-клиентов, а статус владельца определяется только на основе аутентифицированной сессии. Заголовок senderIsOwner больше не используется и не учитывается.
Все четыре уязвимости были исправлены в OpenClaw 2026.4.22, и пользователям рекомендуют установить обновление как можно скорее.
В Cyera подчеркивают, что подобные атаки особенно опасны из-за специфики ИИ-агентов. По сути, злоумышленник использует самого агента как инструмент для атак внутри инфраструктуры:
«Каждый этап выглядит как нормальная активность агента, поэтому традиционные средства защиты могут не заметить такую атаку. Это увеличивает масштаб потенциального ущерба и серьезно усложняет обнаружение».
