Otwarcie stabilizacyjne OpenClaw: Szybka poprawka krytycznego błędu bezpieczeństwa

Firma OpenClaw wprowadziła poprawkę eliminującą poważny błąd bezpieczeństwa, który, gdyby został skutecznie wykorzystany, mógłby umożliwić złośliwej stronie internetowej połączenie się z lokalnie działającym agentem sztucznej inteligencji (AI) i przejęcie nad nim kontroli.

W raporcie opublikowanym w tym tygodniu przez Oasis Security zaznaczono, że „nasza luka istnieje w samym rdzeniu systemu – nie ma wtyczek, nie ma rynku, nie ma zainstalowanych przez użytkownika rozszerzeń – tylko goły interfejs OpenClaw, działający dokładnie zgodnie z dokumentacją”.

Wada została zakodowana jako ClawJacked przez firmę zajmującą się bezpieczeństwem.

Model zagrożenia i szczegóły ataku

Atak zakłada następujący model zagrożenia: programista ma skonfigurowany i działający OpenClaw na swoim laptopie, z bramą, którą jest lokalny serwer WebSocket, powiązany z localhostem i zabezpieczony hasłem. Atak rozpoczyna się, kiedy programista odwiedza złośliwą stronę internetową poprzez socjotechnikę lub inne metody.

Proces infekcji przebiega zgodnie z poniższymi krokami:

„Każda strona, którą odwiedzasz, może otworzyć połączenie z twoim localhostem. W przeciwieństwie do standardowych żądań HTTP, przeglądarka nie blokuje tych połączeń między źródłami,” stwierdziło Oasis Security. „Dlatego podczas przeglądania dowolnej strony JavaScript działający na tej stronie może w ciszy otworzyć połączenie z twoją lokalną bramą OpenClaw. Użytkownik nic nie widzi.”

„To fałszywe zaufanie ma realne konsekwencje. Bramki relaksują kilka mechanizmów bezpieczeństwa dla lokalnych połączeń – w tym automatyczne zatwierdzanie nowych rejestracji urządzeń bez pytania użytkownika. Normalnie, gdy nowe urządzenie się łączy, użytkownik musi potwierdzić parowanie. Z localhostu jest to automatyczne.”

Szybka reakcja OpenClaw

Po odpowiedzialnym zgłoszeniu, OpenClaw wprowadził poprawkę w mniej niż 24 godziny, a wersja 2026.2.25 została wydana 26 lutego 2026 roku. Użytkownicy są zachęcani do jak najszybszego zastosowania najnowszych aktualizacji, okresowego audytowania dostępu przyznawanego agentom AI oraz egzekwowania odpowiednich mechanizmów kontroli dla tożsamości pozaludzkich (tzw. agenticznych).

Problem ten pojawia się w szerszym kontekście wzmożonego badania bezpieczeństwa ekosystemu OpenClaw, który wynika z faktu, że agenci AI mają głęboki dostęp do różnych systemów oraz władzę do wykonywania zadań w narzędziach przedsiębiorstw, co skutkuje znacznie szerszym zakresem możliwych skutków w przypadku naruszenia bezpieczeństwa.

Rozwój zagrożeń i nowe luki w zabezpieczeniach

Raporty od Bitsight i NeuralTrust ujawniają, że instancje OpenClaw niedostatecznie zabezpieczone w internecie stają się rozszerzonym obszarem ataku. Każda zintegrowana usługa dodatkowo powiększa zakres zagrożenia, umożliwiając przekształcenie ich w narzędzie ataku poprzez stosowanie wstrzyknięć wywołań w treści (np. wiadomości e-mail czy Slacka) przetwarzanej przez agenta, aby wykonać złośliwe działania.

Ogłoszenie o lukach zbiegło się z poprawkami dotyczących luki w logach, która pozwalała atakującym na zapis złośliwej treści do plików logów poprzez żądania WebSocket do publicznie dostępnej instancji na porcie TCP 18789. Problem ten został rozwiązany w wersji 2026.2.13, wydanej 14 lutego 2026 roku.

„Jeśli wstrzyknięty tekst jest interpretowany jako istotna informacja operacyjna zamiast jako niezaufany wejście, może wpływać na decyzje, sugestie czy zautomatyzowane działania,” powiedziała Eye Security. „Wpływ nie będzie więc 'natychmiastowym przejęciem’, lecz raczej: manipulacją rozumowaniem agenta, wpływaniem na kroki rozwiązywania problemów, możliwym ujawnieniem danych, jeśli agent zostanie nakłoniony do ujawnienia kontekstu, oraz pośrednim nadużyciem powiązanych integracji.”

W ostatnich tygodniach OpenClaw stwierdzono, że jest podatny na wiele luk (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), od umiarkowanych do wysokich, które mogą skutkować zdalnym wykonywaniem kodu, wstrzykiwaniem poleceń, oszustwem po stronie serwera (SSRF) i obejściem uwierzytelnienia. Wykryte luki zostały naprawione w wersjach OpenClaw 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 oraz 2026.2.14.

Zagrożenia w ClawHub

W innych wieściach, nowe badania wykazały, że złośliwe umiejętności załadowane do ClawHub, otwartego rynku do pobierania umiejętności OpenClaw, są wykorzystywane jako kanały do dostarczania nowej warianty Atomic Stealer, złośliwego oprogramowania do kradzieży informacji na macOS.

„Proces infekcji zaczyna się od normalnego SKILL.md, który instaluje wymagany pakiet,” powiedziała Trend Micro. „Umiejętność wydaje się na pierwszy rzut oka nieszkodliwa i była nawet oznaczona jako łagodna na VirusTotal. OpenClaw następnie przechodzi na stronę internetową, pobiera instrukcje instalacji i kontynuuje instalację, jeśli model językowy zdecyduje się wykonać instrukcje.”

Instrukcje umieszczone na stronie „openclawcli.vercel[.]app” zawierają złośliwe polecenie do pobrania ładunku kradnącego z zewnętrznego serwera („91.92.242[.]30”) i jego uruchomienia.

Poszukiwacze zagrożeń sygnalizowali także nową kampanię dostarczania złośliwego oprogramowania, w której zidentyfikowano aktora zagrożenia pod nazwą @liuhui1010, pozostawiającego komentarze na prawdziwych stronach z listingiem umiejętności, namawiając użytkowników do wykonania polecenia, które dostarczono w aplikacji Terminal, jeśli umiejętność „nie działa na macOS.”

Polecenie jest zaprojektowane w taki sposób, aby pobrać Atomic Stealer z „91.92.242[.]30”, adresu IP wcześniej udokumentowanego przez Koi Security i OpenSourceMalware w odniesieniu do rozprowadzania tego samego złośliwego oprogramowania.

Dodatkowo, niedawna analiza 3 505 umiejętności ClawHub przeprowadzona przez firmę zajmującą się bezpieczeństwem AI, Straiker, ujawniła co najmniej 71 złośliwych umiejętności, z niektórymi, które udawały legalne narzędzia kryptowalutowe, ale zawierały ukryte funkcje, które kierowały fundusze do portfeli kontrolowanych przez aktorów zagrożenia.

Dwie inne umiejętności, bob-p2p-beta i runware, są powiązane z wielowarstwowym oszustwem kryptowalutowym, które wykorzystuje łańcuch ataków z agenta do agenta, cibląc ekosystem agentów AI. Za tymi umiejętnościami stoi aktor zagrożenia, który działa pod pseudonimami „26medias” na ClawHub i „BobVonNeumann” na Moltbook oraz X.

„BobVonNeumann przedstawia się jako agent AI na Moltbook, serwisie społecznościowym stworzonym dla agentów, aby wzajemnie się komunikować,” powiedzieli badacze Yash Somalkar i Dan Regalado. „Z tej pozycji promuje własne złośliwe umiejętności bezpośrednio do innych agentów, wykorzystując zaufanie, które agenci są domyślnie zaprojektowani, aby przekazywać sobie nawzajem.”

Umiejętność bob-p2p-beta poleca innym agentom AI przechowywanie prywatnych kluczy portfela Solana w postaci tekstu jawnego, zakup bezwartościowych tokenów $BOB na pump.fun oraz kierowanie wszystkich płatności przez infrastrukturę kontrolowaną przez atakującego. Druga umiejętność pretenduje do oferować nieszkodliwą narzędzie do generowania obrazów, aby zwiększyć wiarygodność dewelopera.

Sugestie i zalecenia bezpieczeństwa

Biorąc pod uwagę, że ClawHub staje się nowym żyznie polem dla ataków, użytkownicy są zachęcani do audytowania umiejętności przed ich zainstalowaniem, unikania udostępniania poświadczeń i kluczy, chyba że jest to konieczne, oraz monitorowania zachowania umiejętności.

Zagrożenia związane z samodzielnym utrzymywaniem systemów uruchomieniowych agentów, takich jak OpenClaw, skłoniły także Microsoft do wydania komunikatu, w którym ostrzega, że nieodpowiednie wdrożenie może prowadzić do ekspozycji/wykradania danych uwierzytelniających, modyfikacji pamięci oraz kompromitacji hosta, jeśli agent zostanie nakłoniony do pobrania i uruchomienia złośliwego kodu za pomocą skażonych umiejętności lub wstrzyknięć sygnałów.

„Z powodu tych cech OpenClaw powinien być traktowany jako niezaufany kod wykonywalny z utrwalonymi danymi uwierzytelniającymi,” powiedziała drużyna badawcza Microsoft Defender Security. „Nie jest stosowne uruchamianie go na standardowym komputerze osobistym lub stacji roboczej przedsiębiorczej.”

„Jeśli organizacja zdecyduje, że OpenClaw musi być oceniane, powinien być wdrażany wyłącznie w całkowicie izolowanym środowisku, takim jak dedykowana maszyna wirtualna lub oddzielny system fizyczny. Runtime powinien używać dedykowanych, nieuprzywilejowanych danych uwierzytelniających i uzyskiwać dostęp wyłącznie do danych, które nie mają charakteru wrażliwego. Ciągłe monitorowanie oraz plan odbudowy powinny być częścią modelu operacyjnego.”