Исследователи продемонстрировали, что ИИ-агент OpenClaw может выполнять скрытые команды злоумышленников и передавать конфиденциальные данные вовне. Часть проблем уже устранена, однако специалисты предупреждают, что главный риск сопряжен не с отдельными багами, а с самой архитектурой ИИ-агентов.
Сразу две группы исследователей опубликовали отчеты об атаках на OpenClaw. Так, специалисты компании Imperva обнаружили, что OpenClaw некорректно обрабатывал контакты, vCard-визитки и геометки. Когда ИИ-агент передавал такие объекты языковой модели, их содержимое попадало непосредственно в промпт и не помечалось как недоверенное. В результате злоумышленник мог встроить в имя контакта скрытую инструкцию, которую модель могла воспринять как команду.
По словам исследователей, проблему усугубляло то, что полезная нагрузка не видна пользователю целиком: интерфейсы WhatsApp и других приложений обрезают длинные имена контактов, скрывая вредоносный промпт.
В ходе тестов исследователи внедрили в контакт инструкцию для Gemini 3.1 Pro, вынуждая ИИ скачать и запустить скрипт с удаленного сервера. В итоге команда была выполнена. При этом аналогичная атака через изображение не сработала, и предполагается, что современные модели уже лучше обучены сопротивляться подобным инжектам.
Разработчики OpenClaw исправили проблему в версии 2026.4.23. Теперь данные контактов, vCard и геометок передаются модели через отдельный канал недоверенных метаданных.
Параллельно специалисты из компании Varonis изучили, насколько хорошо OpenClaw противостоит классическому фишингу. Для этого исследователи создали агента, получившего имя Pinchy, и подключили его к Gmail, браузеру, Google Workspace, а также набору тестовых корпоративных данных, включая учетные данные AWS, базы клиентов и внутреннюю переписку.
В одном из сценариев атаки агент получил письмо, якобы написанное руководителем, который просил срочно предоставить доступ к тестовой среде из-за сбоя в продакшене. OpenClaw без колебаний нашел и передал фальшивому коллеге ключи от AWS, данные для подключения к БД и учетные данные SSH.
Во втором случае злоумышленник запросил в письме экспорт клиентской БД для подготовки презентации. Агент экспортировал информацию из CRM-системы и переслал файл с данными клиентов, контактной информацией и сведениями о контрактах, даже не попывтавшись проверить личность отправителя.
При этом исследователи отмечают, что OpenClaw проявил себя лучше в более технических сценариях. К примеру, агент сумел распознать поддельное OAuth-приложение, замаскированное под сервис учета рабочего времени, а также заметил признаки фишинговой атаки, получив фальшивое письмо с подарочной картой и вредоносной ссылкой для ее активации.
Отмечается, что модель GPT-5.4 в ходе испытаний вела себя осторожнее Gemini 3.1 Pro, однако обе не прошли тесты, в которых использовалась социальная инженерия.
Исследователи резюмируют, что проблема не ограничивается самим OpenClaw. Дело в том, что агент одновременно имеет доступ к конфиденциальным данным, получает информацию из недоверенных источников и способен самостоятельно выполнять действия от имени пользователя. К тому же OpenClaw спроектирован с упором на простоту развертывания, а не на безопасность по умолчанию.
По мнению специалистов, подобные системы следует рассматривать как младшего сотрудника с широкими правами доступа, который готов помочь, но не всегда понимает, когда его обманывают. Поэтому передачу учетных данных, финансовые операции и другие рискованные действия нельзя полностью доверять ИИ-агенту, и их должен подтверждать человек.
