Неделя, которая изменила всё
Между 24 февраля и 2 марта 2026 года OpenClaw столкнулся с каскадом инцидентов безопасности, которые проверили устойчивость проекта, доверие сообщества и способность реагировать под давлением. Эта публикация — полный отчёт о том, что произошло, как команда отреагировала и что изменилось в результате.
Инцидент 1: zero-click перехват WebSocket (CVE-2026-25253)
Что произошло
26 февраля исследователи безопасности раскрыли критическую уязвимость, не требующую взаимодействия пользователя: любой вредоносный веб-сайт мог бесшумно получить полный контроль над агентом OpenClaw пользователя без каких-либо действий с его стороны — без кликов, без плагинов, без расширений.
Как это работало
- 1.Пользователь посещает веб-страницу, содержащую вредоносный JavaScript
- 2.Скрипт открывает WebSocket-соединение с шлюзом OpenClaw на
localhost - 3.Скрипт подбирает пароль шлюза со скоростью сотни попыток в секунду
- 4.Ограничитель частоты шлюза полностью исключал localhost-подключения — неудачные попытки не учитывались, не ограничивались и не логировались
- 5.После аутентификации скрипт бесшумно регистрируется как доверенное устройство
- 6.Злоумышленник получает полный контроль: чтение сообщений, выполнение команд, доступ к файлам, эксфильтрация API-ключей
Ответные меры
Команда безопасности OpenClaw классифицировала это как уязвимость высокой степени серьёзности (CVSS 8.8) и выпустила патч в версии 2026.2.25 в течение 24 часов после раскрытия. Исправление включало:
- •Удаление исключения для localhost из ограничения частоты
- •Добавление проверки Origin для WebSocket
- •Введение логирования попыток подключения для всех источников
- •Требование повторной аутентификации для регистрации новых устройств
Последствия
Подтверждённых свидетельств эксплуатации «в дикой природе» до момента раскрытия нет, но окно уязвимости составляло примерно 6 недель (с момента введения исключения для localhost в версии v2026.1.12).
Инцидент 2: кризис цепочки поставок ClawHub
Что произошло
Параллельно с уязвимостью WebSocket исследователи безопасности из нескольких фирм опубликовали данные, показывающие, что примерно 20% всех навыков, опубликованных на ClawHub — 341 из примерно 1 700 — были вредоносными или содержали подозрительное поведение.
Что делали вредоносные навыки
- •Эксфильтрация данных: бесшумная выгрузка переменных окружения, API-ключей и логов бесед на внешние серверы
- •Сбор учётных данных: перехват токенов аутентификации подключённых сервисов (Slack, Discord, Gmail)
- •Установка бэкдоров: создание постоянных обратных shell-подключений на хост-системе
- •Prompt injection: манипулирование поведением агента для достижения целей злоумышленника при сохранении видимости нормальной работы для пользователя
Ответные меры
OpenClaw интегрировал сканирование VirusTotal в конвейер публикации на ClawHub. Каждый новый навык и каждое обновление навыка теперь:
- 1.Сканируется мультидвижковым анализом VirusTotal
- 2.Подвергается статическому анализу кода на известные вредоносные паттерны
- 3.Проверяется модератором-человеком перед публикацией (для навыков, запрашивающих повышенные разрешения)
- 4.Маркируется оценкой доверия, видимой пользователям перед установкой
Кроме того, все 341 выявленный вредоносный навык были удалены, их издатели заблокированы, а затронутые пользователи уведомлены.
Инцидент 3: инфостилер конфигурационных файлов
Что произошло
Отдельная кампания была нацелена на пользователей OpenClaw через социальную инженерию: поддельные «руководства по оптимизации» и «инструменты повышения производительности», распространяемые через GitHub, Reddit и китайские форумы для разработчиков, содержали инфостилеры, целенаправленно атакующие:
- Конфигурационные файлы OpenClaw (.clawrc