Популярный открытый ИИ-агент OpenClaw, ранее известный как Clawdbot и Moltbot, может быть полностью захвачен через подмененные документы. Исследователи в области безопасности показывают, как злоумышленники устанавливают постоянный бэкдор и компрометируют компьютер пользователя.

Специалисты по безопасности из Zenity Labs продемонстрировали, что атакующие способны получить долговременный контроль над системами с помощью косвенной промпт-инъекции. Достаточно одного подправленного документа – никакого дополнительного участия пользователя не требуется.

По словам исследователей, корень проблемы заложен прямо в архитектуре OpenClaw: агент обрабатывает контент из недоверенных источников – писем, расшаренных файлов – в том же контексте, что и прямые инструкции пользователя. Между тем, чего хочет пользователь, и тем, что агент “читает между делом”, нет никакого разграничения, а вся защита переложена на механизмы базовой языковой модели.

Особенно опасным это делает то, что, в отличие от обычных чат-ботов, OpenClaw создан не просто для разговоров – он действует: выполняет команды, читает и записывает файлы и работает с теми правами, которые ему выдали при установке. Стоит “накормить” его неверными инструкциями – и потенциальный ущерб становится по-настоящему серьезным.

Атаку исследователи показывают на типичном корпоративном сценарии: сотрудник устанавливает OpenClaw и подключает его к Slack и Google Workspace. Все начинается с на вид безобидного документа. Но глубже в тексте скрыта замаскированная инструкция. Когда OpenClaw обрабатывает файл, его обманом вынуждают создать новую чат-интеграцию – телегам-бота с ключом доступа, заранее подготовленным злоумышленником.

После этого OpenClaw начинает принимать команды напрямую от атакующего. Исходная точка входа больше не нужна. У злоумышленника появляется постоянный канал управления, полностью невидимый для компании. Конкретную формулировку атакующего промпта исследователи сознательно не раскрывают.

Еще тревожнее выглядит возможность закрепления атаки. OpenClaw использует конфигурационный файл SOUL.md, который определяет поведение агента. Через бэкдор атакующий может изменить и его. В proof-of-concept исследователи настроили задачу по расписанию, которая каждые две минуты перезаписывает SOUL.md. Даже если кто-то удалит исходную чат-интеграцию, контроль все равно останется у злоумышленника.

Финальный штрих – установка C2-маяка. В результате скомпрометированный ИИ-агент превращается в классический шлюз для хакеров. Дальше можно перемещаться по корпоративной сети, красть учетные данные или разворачивать вымогательское ПО.

Атака работает с разными моделями, включая GPT-5.2, и через различные интеграции. “Если персональные ИИ-ассистенты собираются жить на наших конечных устройствах и внутри рабочих процессов, компромиссы в вопросах безопасности недопустимы”, – пишут исследователи. Все видеодемонстрации доступны здесь.

И это не первый тревожный сигнал. Недавно один из разработчиков протестировал OpenClaw с помощью инструмента анализа безопасности ZeroLeaks: система набрала всего 2 балла из 100, показав 84% извлечения данных и 91% успешных инъекционных атак при использовании распространенных языковых моделей. Лучший результат – 39 из 100 – показал лишь Claude Opus 4.5, но и это выглядит неприемлемо, если учитывать, насколько глубоко OpenClaw может управлять компьютером.

Системные промпты, конфигурации инструментов и файлы памяти считывались почти без усилий. Простое сканирование выявило 954 экземпляра OpenClaw с открытыми gateway-портами, многие из них – вообще без какой-либо аутентификации. Продемонстрированный здесь бэкдор – наглядный пример того, как эти уязвимости могут быть использованы в реальных условиях.

Хотите быть в курсе важных новостей из мира ИИ? Подписывайтесь на наш Telegram‑канал BotHub AI News.