Уязвимости в OpenClaw позволяли похищать данные, повышать привилегии и закрепляться системе

[Article Publisher]

ИБ-исследователи из компании Cyera раскрыли сразу четыре уязвимости в OpenClaw, которые можно объединить в полноценную цепочку атаки, названную Claw Chain. По словам специалистов, баги позволяют атакующему закрепиться в системе, похитить конфиденциальные данные и получить устойчивый контроль над зараженной машиной.

В своем отчете исследователи рассказывают о следующих уязвимостях:

• CVE-2026-44112 (9,6 балла по шкале CVSS) — TOCTOU-баг (time-of-check/time-of-use) в OpenShell, позволяющий обходить ограничения песочницы и записывать файлы за пределами разрешенного каталога;
• CVE-2026-44113 (7,7 балла по шкале CVSS) — аналогичная TOCTOU-уязвимость для чтения файлов вне песочницы;
• CVE-2026-44115 (8,8 балла по шкале CVSS) — ошибка в механизме фильтрации команд, позволяющая внедрять shell expansion-токены в heredoc и выполнять неразрешенные команды во время исполнения;
• CVE-2026-44118 (7,8 балла по шкале CVSS) — баг контроля доступа, из-за которого локальный клиент мог выдавать себя за владельца агента и получать расширенные привилегии.

Как объясняют специалисты, проблема CVE-2026-44112 позволяет злоумышленнику менять конфигурацию OpenClaw, устанавливать бэкдоры и добиваться устойчивого присутствия в системе. В свою очередь CVE-2026-44113 дает возможность читать системные файлы, учетные данные и внутренние артефакты.

В результате полная цепочка атаки выглядит так:

• вредоносный плагин, промпт-инжект или скомпрометированный внешний input обеспечивают выполнение кода внутри OpenShell;
• CVE-2026-44113 и CVE-2026-44115 используются для кражи секретов, API-ключей и конфиденциальных файлов;
• затем через CVE-2026-44118 атакующий получает доступ к рантайму агента на уровне владельца;
• финальный этап — эксплуатация CVE-2026-44112 для установки бэкдоров и закрепления в системе.

Особенно опасной исследователи называют проблему CVE-2026-44118. Дело в том, что OpenClaw доверял клиентскому флагу senderIsOwner, который определял, имеет ли пользователь доступ к инструментам, предназначенным только для владельца. При этом значение никак не проверялось на стороне сервера и фактически могло быть подделано.

Разработчики OpenClaw сообщили, что уже устранили проблему: теперь система использует отдельные bearer-токены для owner- и non-owner-клиентов, а статус владельца определяется только на основе аутентифицированной сессии. Заголовок senderIsOwner больше не используется и не учитывается.

Все четыре уязвимости были исправлены в OpenClaw 2026.4.22, и пользователям рекомендуют установить обновление как можно скорее.

В Cyera подчеркивают, что подобные атаки особенно опасны из-за специфики ИИ-агентов. По сути, злоумышленник использует самого агента как инструмент для атак внутри инфраструктуры:

«Каждый этап выглядит как нормальная активность агента, поэтому традиционные средства защиты могут не заметить такую атаку. Это увеличивает масштаб потенциального ущерба и серьезно усложняет обнаружение».