Бюллетень безопасности ClawHub: уроки первой крупной уязвимости навыка

Краткое описание инцидента

6 февраля 2026 года команда безопасности OpenClaw получила отчёт об ответственном раскрытии от независимого исследователя безопасности, идентифицировавшего критическую уязвимость в «DataBridge» — одном из наиболее широко установленных навыков на маркетплейсе ClawHub. Уязвимость, теперь отслеживаемая как CVE-2026-1847, позволяла специально сформированной входной нагрузке обойти защиту песочницы навыка и получить несанкционированный доступ на чтение к переменным окружения хост-системы. В худшем случае это могло привести к утечке API-ключей, учётных данных баз данных и другой конфиденциальной конфигурационной информации.

В течение 12 часов после получения отчёта команда безопасности OpenClaw подтвердила уязвимость, уведомила мейнтейнера навыка и выпустила временную рекомендацию, предлагающую всем пользователям DataBridge отключить навык до выхода патча. Исправление было опубликовано на ClawHub в течение 36 часов после первоначального отчёта, и все затронутые пользователи были уведомлены через систему автоматических обновлений ClawHub. На момент написания нет свидетельств того, что уязвимость была эксплуатирована до раскрытия.

Команда OpenClaws.io хочет использовать этот инцидент как возможность быть прозрачными о том, что произошло, как мы отреагировали и что мы делаем для предотвращения подобных проблем в будущем.

Технические подробности

Уязвимость находилась в модуле разбора входных данных DataBridge, отвечавшем за обработку структурированных данных из внешних источников и предоставление их агентам OpenClaw. Модуль использовал пользовательскую процедуру десериализации, которая при определённых условиях не выполняла надлежащую санитизацию входных данных, содержащих встроенные метасимволы оболочки. Когда агент обрабатывал вредоносную нагрузку данных, процедура десериализации непреднамеренно передавала несанитизированные строки в вызов подпроцесса, обеспечивая ограниченную форму инъекции команд.

Обход песочницы был возможен, потому что DataBridge получил повышенные разрешения в процессе проверки на ClawHub. Заявленная функциональность навыка — связывание данных между внешними API и агентами OpenClaw — требовала доступа к сетевым ресурсам и определённым операциям системного уровня. Команда проверки одобрила эти разрешения на основе тщательного анализа кода при первоначальной подаче. Однако последующее обновление навыка внесло уязвимый код десериализации, и процесс инкрементальной проверки не выявил регрессию.

Важно отметить, что уязвимость была ограничена несколькими факторами. Во-первых, она требовала от атакующего контроля или манипуляции внешним источником данных, который DataBridge был настроен потреблять. Во-вторых, инъекция команд была ограничена операциями чтения. В-третьих, конфигурация безопасности OpenClaw по умолчанию ограничивает переменные окружения, видимые навыкам.

Хронология событий

•6 февраля, 08:14 UTC: Исследователь безопасности подаёт отчёт об уязвимости через программу ответственного раскрытия OpenClaw.
•6 февраля, 09:30 UTC: Команда безопасности OpenClaw подтверждает получение и начинает сортировку.
•6 февраля, 14:22 UTC: Уязвимость подтверждена и классифицирована как критическая (CVSS 8.6).
•6 февраля, 15:00 UTC: Мейнтейнер DataBridge уведомлён по защищённому каналу.
•6 февраля, 16:45 UTC: Опубликована временная рекомендация; ClawHub помечает DataBridge предупреждением безопасности.
•6 февраля, 20:30 UTC: Мейнтейнер DataBridge подаёт первоначальный патч на проверку.
•7 февраля, 03:15 UTC: Команда безопасности выявляет дополнительный граничный случай; запрашивает доработку.
•7 февраля, 14:00 UTC: Доработанный патч подан и одобрен после комплексного тестирования.
•7 февраля, 20:00 UTC: Исправленная версия (DataBridge v2.4.1) опубликована на ClawHub.
•7 февраля, 20:15 UTC: Автоматические уведомления отправлены всем пользователям DataBridge.
•8 февраля, 10:00 UTC: Публичный бюллетень безопасности опубликован с полными техническими подробностями.

Реакция сообщества

Реакция сообщества на этот инцидент была образцовой. В течение нескольких часов после первоначальной рекомендации несколько опытных членов сообщества вызвались провести аудит других навыков с высокими разрешениями на ClawHub на предмет аналогичных уязвимостей. Этот спонтанный аудит безопасности, в котором в итоге приняли участие более 40 контрибьюторов, проверил 100 наиболее устанавливаемых навыков и выявил три дополнительных случая потенциально небезопасных паттернов десериализации.

Реакция мейнтейнера DataBridge была столь же похвальной. Он был прозрачен в отношении ошибки, оперативно реагировал на обратную связь команды безопасности и проактивно общался со своими пользователями.

Извлечённые уроки и изменения политики

Этот инцидент повлёк за собой несколько конкретных изменений в процессах безопасности ClawHub.

Во-первых, мы усиливаем процесс инкрементальной проверки обновлений навыков. Отныне любое обновление, модифицирующее код в чувствительных к безопасности областях — включая разбор входных данных, сетевое взаимодействие и системные вызовы — будет запускать полную проверку безопасности.

Во-вторых, мы внедряем автоматическое статическое сканирование для всех подач и обновлений навыков. Это сканирование будет проверять распространённые паттерны уязвимостей, включая небезопасную десериализацию, инъекцию команд, обход путей и другие риски по классификации OWASP.

В-третьих, мы реализуем более гранулярную модель разрешений для навыков. Вместо предоставления широких категорий доступа навыки должны будут запрашивать конкретные, узко ограниченные разрешения.

В-четвёртых, мы расширяем нашу программу ответственного раскрытия формальной программой вознаграждений за обнаружение уязвимостей.