Проблема OpenDoor в OpenClaw настолько серьезна, что установить вредонос самому – иногда даже быстрее

Популярный открытый ИИ-агент OpenClaw, ранее известный как Clawdbot и Moltbot, может быть полностью захвачен через подмененные документы. Исследователи в области безопасности показывают, как злоумышленники устанавливают постоянный бэкдор и компрометируют компьютер пользователя.

Специалисты по безопасности из Zenity Labs продемонстрировали, что атакующие способны получить долговременный контроль над системами с помощью косвенной промпт-инъекции. Достаточно одного подправленного документа – никакого дополнительного участия пользователя не требуется.

По словам исследователей, корень проблемы заложен прямо в архитектуре OpenClaw: агент обрабатывает контент из недоверенных источников – писем, расшаренных файлов – в том же контексте, что и прямые инструкции пользователя. Между тем, чего хочет пользователь, и тем, что агент “читает между делом”, нет никакого разграничения, а вся защита переложена на механизмы базовой языковой модели.

Особенно опасным это делает то, что, в отличие от обычных чат-ботов, OpenClaw создан не просто для разговоров – он действует: выполняет команды, читает и записывает файлы и работает с теми правами, которые ему выдали при установке. Стоит “накормить” его неверными инструкциями – и потенциальный ущерб становится по-настоящему серьезным.

Атаку исследователи показывают на типичном корпоративном сценарии: сотрудник устанавливает OpenClaw и подключает его к Slack и Google Workspace. Все начинается с на вид безобидного документа. Но глубже в тексте скрыта замаскированная инструкция. Когда OpenClaw обрабатывает файл, его обманом вынуждают создать новую чат-интеграцию – телегам-бота с ключом доступа, заранее подготовленным злоумышленником.

После этого OpenClaw начинает принимать команды напрямую от атакующего.