Три дыры в OpenClaw превратили WhatsApp в дверь на чужой сервер

Исследователь безопасности Чинмохан Найак нашёл способ добраться до хостовой системы через персонального ИИ-помощника OpenClaw, отправив всего одно сообщение в WhatsApp. Подробностями он поделился с изданием The Hacker News, и картина получилась довольно неприятная: три уязвимости, которые по отдельности выглядят рутинными багами, вместе складываются в полноценную цепочку атаки — от кражи учётных данных до выполнения произвольного кода на хосте.
Первая проблема связана с внедрением команд операционной системы через неполный список запрещённых входных данных — механизм фильтрации в среде исполнения хоста просто пропускал то, что должен был блокировать. Вторая, зарегистрированная как GHSA-9969-8g9h-rxwm с оценкой CVSS 8.8, устроена похожим образом: тот же класс инъекций, та же дырявая фильтрация, позволяющая выполнять и закреплять действия за пределами того, что вызывающая сторона изначально разрешила.
Но самая интересная находка — GHSA-575v-8hfq-m3mc. Корень проблемы кроется в функции getBlockedReasonForSourcePath(). Найак объясняет это так: «getBlockedReasonForSourcePath() проверяет, находится ли исходный путь под заблокированным. Но обратную проверку — находится ли заблокированный путь под исходным — функция никогда не делает». Звучит как техническая мелочь, а на деле это классический обход через родительскую директорию.
На практике это выглядит так. Список запрещённых для монтирования директорий включает ~/.ssh, ~/.aws и ~/.gnupg — вроде бы разумная предосторожность. Вот только родительские каталоги вроде /home и /var в этот список не попали. А значит, вся защита конкретных папок теряет смысл, стоит подняться на уровень выше.
Найак приводит два наглядных примера. «Смонтируйте /home в свой контейнер — и сможете прочитать SSH-ключи, учётные данные AWS и секреты GPG абсолютно всех пользователей», — говорит он. С /var ситуация ещё серьёзнее: доступ к этой директории открывает путь к Docker-сокету, а это уже полный побег с хоста прямо изнутри так называемой песочницы.
Важное отличие новых уязвимостей от истории с Claw Chain, о которой ещё в мае рассказывала компания Cyera: тогда злоумышленнику сначала требовалось закрепиться в системе. Здесь же ничего подобного не нужно. Достаточно одного внешнего сообщения через WhatsApp, чтобы вытащить чувствительные данные, установить постоянный бэкдор, добиться удалённого выполнения кода и в итоге вырваться за пределы хоста.
Разработчики OpenClaw закрыли все три бага в версии 2026.6.6, выпустив соответствующие рекомендации на прошлой неделе. В официальном комментарии команда осторожно замечает: «практическое влияние зависит от конфигурации оператора и от того, может ли ввод с низким уровнем доверия добраться до этого пути». Формулировка обтекаемая, но суть простая — если у вас настройки по умолчанию и агенты слушают внешние каналы, риск реален.
Для тех, кто пока не обновился, разработчики советуют ограничить доступ к затронутой функции только доверенными операторами или вовсе отключить её, если необходимости нет. Дословно: «до обновления ограничьте доступ к затронутой функции доверенными операторами или отключите её, если она не нужна... держите списки разрешённых каналов и инструментов узкими, избегайте использования одного шлюза несколькими взаимно недоверяющими пользователями и отключайте функцию, когда она не используется».
Помимо обновления до 2026.6.6 или более новой версии, специалисты рекомендуют включить режим песочницы для всех сессий, кроме основной, убрать exec из списка разрешённых инструментов для агентов, работающих с внешними каналами, и следить за командами git clone, использующими протокольный хелпер ext:: — через него можно незаметно протащить выполнение произвольных системных команд.


Новое на сайте

Ссылка