Исследователи SecurityScorecard обнаружили, что десятки тысяч систем на базе агентного ИИ-фреймворка OpenClaw открыты для атак. Причиной стали неправильно настроенные панели управления, устаревшее ПО и наличие известных уязвимостей.
Исследователи SecurityScorecard обнаружили, что десятки тысяч систем на базе агентного ИИ-фреймворка OpenClaw открыты для атак. Причиной стали неправильно настроенные панели управления, устаревшее ПО и наличие известных уязвимостей.
OpenClaw — это платформа для автономных ИИ-агентов, которые могут выполнять команды, подключаться к внешним сервисам, работать с файлами и действовать от имени пользователя или организации. Такие системы часто имеют широкий уровень доступа — от API-ключей до корпоративных аккаунтов — поэтому их компрометация может привести к серьезным последствиям.
По данным исследовательской группы STRIKE, в сети обнаружено более 42 000 публично доступных инстансов OpenClaw в 80+ странах. Около 15 000 из них уязвимы к удаленному выполнению кода — типу атаки, позволяющему злоумышленнику полностью перехватить контроль над сервером. Более трети выявленных систем связаны с инфраструктурой, ранее фигурировавшей в утечках или инцидентах безопасности.
Основная проблема связана с настройками по умолчанию. После установки OpenClaw нередко привязывает интерфейс управления ко всем сетевым подключениям, делая его доступным из публичного интернета. Без дополнительных ограничений любой может попытаться получить доступ к панели.
Дополнительный риск создает «фрагментация версий»: большинство обнаруженных систем работают на старых сборках, выпущенных до устранения критических уязвимостей. Только около пятой части инстансов используют актуальную версию.
Исследователи выделили три уязвимости высокой степени критичности (оценка до 8.8 по шкале CVSS). Их эксплуатация может позволить атакующему получить API-ключи, OAuth-токены и пароли, перехватить SSH-доступ и управлять браузерными сессиями. Также злоумышленник может отправлять сообщения от имени жертвы в Telegram, WhatsApp или Discord, контролировать автоматизированные процессы и извлекать данные, которые агент хранит о пользователе
Особенность агентных систем в том, что после взлома злоумышленник получает не просто доступ к данным, а инструмент для выполнения действий. ИИ-агент может запускать команды, взаимодействовать с другими сервисами и выполнять операции с «легитимным» статусом, из-за чего атаки сложнее обнаружить.
Исследование также показало концентрацию уязвимых установок у крупных облачных провайдеров, что говорит о масштабном повторном использовании небезопасных шаблонов развертывания. Количество открытых инстансов продолжает расти быстрее, чем пользователи успевают их защищать.
Отдельную обеспокоенность вызывает утечка учетных данных через публичные репозитории: разработчики нередко случайно публикуют конфигурационные файлы с токенами и ключами доступа. Даже после удаления такие данные могут сохраняться в истории Git.
Эксперты указывают, что OpenClaw — не уникальная проблема, а сигнал более широкой тенденции. По мере распространения агентного ИИ компании предоставляют системам все больше полномочий — доступ к файлам, сетям и цифровой идентичности — часто без полноценной проверки безопасности.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.