В подсистеме подключения устройств OpenClaw — ИИ-агента с 348 000 звезд на GitHub — за шесть недель обнаружили шесть уязвимостей класса CWE-863 (некорректная авторизация). Последняя, CVE-2026-33579 с оценкой CVSS 8.6, закрыта 29 марта в версии 2026.3.28.

Все шесть CVE эксплуатируют одну и ту же архитектурную проблему: модуль device pairing не проверяет, какие именно права есть у того, кто одобряет подключение нового устройства. В случае CVE-2026-33579 команда /pair approve не передавала права вызывающего в проверку авторизации. Пользователь с минимальной привилегией operator.pairing мог зарегистрировать устройство с запросом на operator.admin и тут же сам его одобрить. Предыдущая уязвимость в той же подсистеме, CVE-2026-32922 (CVSS 9.9), позволяла обойти проверку прав через эндпоинт ротации токенов и была закрыта в версии 2026.3.11. Те, кто установил тот патч, но не обновился дальше, к новой атаке оставались уязвимы.

Проблема усугубляется масштабом небезопасных установок. По данным SecurityScorecard, в феврале в открытом доступе находилось более 135 000 экземпляров OpenClaw, из которых 63% работали вообще без аутентификации. К концу марта Censys зафиксировал около 63 000 — вдвое меньше, но все еще достаточно для массовой эксплуатации. На экземплярах без аутентификации получить права на подключение устройств — а значит, и запустить атаку — может кто угодно.

Исследователи предупреждают, что каждый из шести патчей закрывал конкретный путь в коде, но не затрагивал саму модель авторизации. Полный архитектурный аудит подсистемы подключения устройств пока не проводился, и появление новых CVE в этом модуле — вопрос времени. Разработчики рекомендуют обновиться до версии 2026.3.28, включить аутентификацию и отслеживать ленту безопасности проекта.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.