Атака ClawJacked — перебор паролей через localhost и полный захват OpenClaw

Исследователи по информационной безопасности обнаружили в популярном ИИ-агенте OpenClaw уязвимость высокой степени опасности под названием «ClawJacked», которая позволяла вредоносному сайту незаметно осуществлять брутфорс-атаку на локально запущенный экземпляр и захватывать над ним контроль.

Компания Oasis Security обнаружила эту проблему и сообщила о ней OpenClaw, после чего 26 февраля в версии 2026.2.26 было выпущено исправление.

OpenClaw — платформа искусственного интеллекта с установкой на собственный сервер. Она позволяет ИИ-агентам автономно отправлять сообщения, выполнять команды и управлять задачами на нескольких платформах. В последнее время проект быстро набирает популярность благодаря этим возможностям.

По данным Oasis Security, уязвимость вызвана тем, что служба шлюза OpenClaw по умолчанию привязана к localhost и открывает интерфейс WebSocket.

Политики кросс-доменного доступа браузера не блокируют WebSocket-соединения с localhost. Это означает, что вредоносный сайт, который откроет пользователь OpenClaw, может через JavaScript незаметно установить соединение с локальным шлюзом и попытаться пройти аутентификацию — без каких-либо предупреждений со стороны браузера.

В OpenClaw предусмотрено ограничение скорости для защиты от перебора паролей. Однако адрес обратной связи 127.0.0.1 по умолчанию исключен из этого механизма, чтобы случайно не блокировать локальные CLI-сеансы. Это снижает защиту в сценарии атаки через браузер.

Исследователи обнаружили, что они могут подбирать пароль управления OpenClaw методом перебора, выполняя сотни попыток в секунду, при этом неудачные попытки не ограничиваются и не регистрируются. Как только правильный пароль угадан, злоумышленник может незаметно зарегистрироваться в качестве доверенного устройства, поскольку шлюз автоматически утверждает сопряжения устройств с localhost без подтверждения со стороны пользователя.

В Oasis пояснили:

В ходе лабораторных испытаний мы достигли устойчивой скорости сотен попыток подбора паролей в секунду, используя только JavaScript браузера.

При такой скорости список распространенных паролей исчерпывается менее чем за секунду, а большой словарь — всего за несколько минут. Пароль, выбранный человеком, не имеет никаких шансов.

Получив аутентифицированную сессию с правами администратора, злоумышленник может напрямую управлять ИИ-платформой: выгружать данные, просматривать список подключенных узлов, извлекать учетные данные и читать журналы приложений.

По данным Oasis, это позволяет отдавать агенту команды на поиск конфиденциальной информации в истории сообщений, экспорт файлов с подключенных устройств и выполнение произвольных команд оболочки на сопряженных узлах. Фактически такая атака может привести к полному компрометированию рабочей станции из обычной вкладки браузера.

Oasis продемонстрировала сценарий эксплуатации, показав, как уязвимость OpenClaw используется для кражи чувствительных данных.

Oasis уведомила OpenClaw о проблеме, передав технические детали и демонстрационный код. Уязвимость устранили в течение 24 часов после раскрытия.

Обновление усиливает проверки безопасности WebSocket и вводит дополнительные механизмы защиты. Они предотвращают злоупотребление loopback-соединениями localhost для перебора паролей и перехвата сессий — даже если такие подключения освобождены от ограничений по частоте запросов.

Организациям и разработчикам, использующим OpenClaw, рекомендуется немедленно обновиться до версии 2026.2.26 или новее, чтобы исключить риск захвата экземпляра.

На фоне высокой популярности OpenClaw специалисты по безопасности активно анализируют платформу на наличие новых уязвимостей и векторов атак.

Также зафиксированы случаи злоупотребления репозиторием навыков «ClawHub»: злоумышленники размещали вредоносные навыки, которые устанавливают инфостилеры или побуждают пользователей выполнять опасные команды на своих устройствах.