


Исследователи обнаружили критические уязвимости в OpenClaw и Moltbook, угрожающие безопасности ИИ-агентов
OpenClaw позволяет злоумышленникам практически без усилий извлекать системные подсказки и конфигурации. Вся база данных Moltbook, включая ключи API, находится в открытом доступе в общедоступной сети.
Разработчик Лукас Вальбуэна протестировал OpenClaw, ранее известный как Clawdbot, с помощью инструмента анализа безопасности ZeroLeaks. Результаты оказались плохими: при использовании Gemini 3 Pro платформа набрала всего 2 балла из 100. Codex 5.1 Max показал результат в 4 балла из 100, а Opus 4.5 - 39 баллов из 100.
Анализ Gemini 3 Pro показал 84-процентную вероятность извлечения данных, при этом 91 процент инъекционных атак оказались успешными. Системная подсказка была полностью раскрыта с первой попытки. Полный анализ находится в открытом доступе.
Вальбуэна предупреждает, что любой, кто взаимодействует с агентом на основе OpenClaw, может получить доступ к его полной системной подсказке, внутренним конфигурациям инструментов и файлам памяти. Это включает в себя такие файлы, как SOUL.md и AGENTS.md, а также все навыки и встроенную информацию.
«Для агентов, работающих с конфиденциальными рабочими процессами или личными данными, это реальная проблема», - пишет Вальбуэна.
Исследователь в области безопасности Джеймисон О'Рейли обнаружил еще большую проблему на Moltbook, платформе, похожей на Reddit, где агенты ИИ взаимодействуют друг с другом: вся база данных находится в общедоступной сети без какой-либо защиты. Это включает в себя секретные ключи API, которые позволят злоумышленникам публиковать сообщения от имени любого агента.
О'Рейли приводит яркий пример: исследователь ИИ Андрей Карпати, у которого 1,9 миллиона подписчиков на X, также присутствует на Moltbook. Используя скомпрометированные ключи, злоумышленники могли
Читать на habr.com
