SecAtor
@true_secator
Исследователи Cyera предупреждают о четырех уязвимостях в OpenClaw под общим названием Claw Chain, которые могут быть объединены для внедрения бэкдоров на базовый хост.
Эти уязвимости позволяют злоумышленнику, обладающему правами на выполнение кода внутри песочницы, контролировать среду выполнения агента и использовать это для компрометации системы.
По данным Cyera, злоумышленник может использовать внедрение вредоносных ПО, вредоносные плагины и скомпрометированные внешние входные данные для запуска цепочки атак и превращения ИИ в своего собственного помощника.
Получив доступ к выполнению кода в песочнице OpenShell, злоумышленник может использовать уязвимость гонки (CVE-2026-44113) для чтения файлов за пределами корневого каталога монтирования или уязвимость анализа списка разрешенных команд (CVE-2026-44115) для выполнения несанкционированных команд во время выполнения.
Как отмечает Cyera, успешная эксплуатация этих уязвимостей позволяет злоумышленнику обходить ограничения песочницы и получать доступ к учетным данным, ключам API, токенам, файлам конфигурации и другим конфиденциальным данным.
Далее злоумышленник может задействовать уязвимость обратной связи MCP (CVE-2026-44118) для манипулирования флагом неподтвержденного владения и повышения своих привилегий до уровня владельца.
Злоумышленник получает доступ к критически важным функциям управления, включая конфигурацию и оркестрацию выполнения.
Наконец, четвертая уязвимость - критическая проблема состояния гонки в песочнице OpenShell (CVE-2026-44112, оценка CVSS 9.6) - это запись данных за пределы песочницы. Позволяет изменять конфигурации, внедрять бэкдоры и получать постоянный контроль над хостом.
Используя привилегии самого агента в качестве оружия, противник получает доступ к данным, повышает свои привилегии и закрепляется в системе, используя агента как свою руку внутри окружения.
При этом каждый шаг выглядит как обычное поведение агента для традиционных средств контроля, расширяя радиус поражения и значительно затрудняя обнаружение.
Телеметрия Cyera показывает наличие более 60 000 общедоступных экземпляров OpenClaw, отмечая, что агенты, как правило, имеют широкий доступ к внутренним системам, конфиденциальным данным и секретам.
Злоумышленники, успешно реализовавшие цепочку Claw Chain, могут скомпрометировать переменные среды, токены, аутентификационные данные, внутренние конфигурации, учетные данные системы, исходный код, запросы и результаты ввода пользователя, историю переписки и привилегированные операции.
Важно отметить, что эта цепочка атак не основана на одной критической уязвимости, такой как произвольное выполнение команд.
Вместо этого она демонстрирует, как множество более мелких на первый взгляд уязвимостей (утечка данных, состояния гонки и некорректный контроль доступа) могут быть использованы параллельно из одной точки доступа для достижения сценария полного компрометирования.
Обо всех четырех уязвимостях было сообщено разработчикам OpenClaw 22 апреля, а исправления были выпущены на следующий день.
Эти уязвимости позволяют злоумышленнику, обладающему правами на выполнение кода внутри песочницы, контролировать среду выполнения агента и использовать это для компрометации системы.
По данным Cyera, злоумышленник может использовать внедрение вредоносных ПО, вредоносные плагины и скомпрометированные внешние входные данные для запуска цепочки атак и превращения ИИ в своего собственного помощника.
Получив доступ к выполнению кода в песочнице OpenShell, злоумышленник может использовать уязвимость гонки (CVE-2026-44113) для чтения файлов за пределами корневого каталога монтирования или уязвимость анализа списка разрешенных команд (CVE-2026-44115) для выполнения несанкционированных команд во время выполнения.
Как отмечает Cyera, успешная эксплуатация этих уязвимостей позволяет злоумышленнику обходить ограничения песочницы и получать доступ к учетным данным, ключам API, токенам, файлам конфигурации и другим конфиденциальным данным.
Далее злоумышленник может задействовать уязвимость обратной связи MCP (CVE-2026-44118) для манипулирования флагом неподтвержденного владения и повышения своих привилегий до уровня владельца.
Злоумышленник получает доступ к критически важным функциям управления, включая конфигурацию и оркестрацию выполнения.
Наконец, четвертая уязвимость - критическая проблема состояния гонки в песочнице OpenShell (CVE-2026-44112, оценка CVSS 9.6) - это запись данных за пределы песочницы. Позволяет изменять конфигурации, внедрять бэкдоры и получать постоянный контроль над хостом.
Используя привилегии самого агента в качестве оружия, противник получает доступ к данным, повышает свои привилегии и закрепляется в системе, используя агента как свою руку внутри окружения.
При этом каждый шаг выглядит как обычное поведение агента для традиционных средств контроля, расширяя радиус поражения и значительно затрудняя обнаружение.
Телеметрия Cyera показывает наличие более 60 000 общедоступных экземпляров OpenClaw, отмечая, что агенты, как правило, имеют широкий доступ к внутренним системам, конфиденциальным данным и секретам.
Злоумышленники, успешно реализовавшие цепочку Claw Chain, могут скомпрометировать переменные среды, токены, аутентификационные данные, внутренние конфигурации, учетные данные системы, исходный код, запросы и результаты ввода пользователя, историю переписки и привилегированные операции.
Важно отметить, что эта цепочка атак не основана на одной критической уязвимости, такой как произвольное выполнение команд.
Вместо этого она демонстрирует, как множество более мелких на первый взгляд уязвимостей (утечка данных, состояния гонки и некорректный контроль доступа) могут быть использованы параллельно из одной точки доступа для достижения сценария полного компрометирования.
Обо всех четырех уязвимостях было сообщено разработчикам OpenClaw 22 апреля, а исправления были выпущены на следующий день.
Cyera
Claw Chain: Cyera Research Unveil Four Chainable Vulnerabilities in OpenClaw
Cyera Research uncovers four chainable vulnerabilities in OpenClaw — including a critical 9.6 CVSS sandbox escape — exposing 180K+ AI agent deployments to full compromise.
17 5.3K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram