Популярный open-source AI-агент OpenClaw, раньше называвшийся Clawdbot, легко захватывается через поддельные документы. Специалисты из Zenity Labs демонстрируют, как злоумышленники настраивают постоянный бэкдор и получают доступ к компьютеру пользователя.
Сотрудники Zenity Labs показали, что хакеры захватывают полный контроль над устройствами с помощью косвенной инъекции промта. Для атаки хватит одного изменённого документа — никаких действий от пользователя не требуется.
Архитектура OpenClaw делает систему уязвимой: агент анализирует данные из ненадёжных источников, таких как электронная почта или общие файлы, в одном контексте с прямыми командами пользователя. Между ними нет барьера, а защита зависит только от механизмов базовой языковой модели.
Особую угрозу создаёт способность OpenClaw к действиям: он запускает команды, работает с файлами на чтение и запись, используя права, выданные при установке. Неправильный промт приводит к серьёзному ущербу.
Обычный документ открывает дверь для Telegram-бота
Эксперты воспроизвели типичную ситуацию в компании: работник настраивает OpenClaw и связывает его со Slack и Google Workspace. Всё начинается с невинного на вид документа. В глубине текста прячется скрытый промт. При обработке OpenClaw обманом создаёт новую интеграцию чата — Telegram-бота с заранее подготовленным ключом доступа злоумышленника.
После этого агент подчиняется командам атакующего. Исходный документ больше не нужен. У хакера появляется скрытый канал управления, незаметный для организации. Точный текст промта атаки эксперты не раскрывают.
Ещё хуже перспектива закрепления. OpenClaw хранит настройки поведения в файле SOUL.md. Через бэкдор злоумышленник меняет этот файл. В демонстрации создали задачу по расписанию, которая обновляет SOUL.md каждые две минуты. Даже удаление начальной интеграции не помогает — контроль сохраняется.
На финальном этапе показывают установку маячка C2. Захваченный агент становится стандартным мостом для хакеров. Оттуда можно распространяться по сети компании, красть учётные данные или запускать ransomware.
Атака срабатывает на разных моделях, включая GPT-5.2, и через любые интеграции. «Персональные AI-помощники на рабочих устройствах и в процессах требуют строгой защиты», — подчёркивают исследователи. Все видео с демонстрациями доступны здесь.
Уязвимости безопасности OpenClaw затрагивают основу
Это не первый сигнал тревоги. Разработчик недавно проверил OpenClaw с помощью инструмента анализа ZeroLeaks и получил всего 2 из 100 баллов: 84 процента успешного извлечения данных и 91 процент удачных инъекций на обычных языковых моделях. Только Claude Opus 4.5 набрал 39 баллов, но это всё равно далеко от нормы для агента с таким доступом к компьютеру.
Системные промты, конфигурации инструментов и файлы памяти читаются без проблем. Простое сканирование выявило 954 экземпляра OpenClaw с открытыми портами шлюзов, часто без аутентификации. Показанный бэкдор — реальный пример использования этих дыр.