Утечка данных OpenClaw: агент CEO продан за 25 тысяч долларов, 135 тысяч экземпляров оказались уязвимы.

Критические уязвимости безопасности OpenClaw

Экземпляр OpenClaw генерального директора из Великобритании был выставлен на продажу на BreachForums 22 февраля под ником "fluffyduck" и продан за $25 000 в Monero или Litecoin. Покупатель получил доступ к полностью обученному персональному ИИ-ассистенту CEO, включая все переписки, производственную базу данных компании, Telegram-токены, Trading 212 API-ключи и личные семейные детали, раскрытые ассистенту. Все данные хранились в файлах Markdown с открытым текстом в каталоге ~/.openclaw/workspace/ без какого-либо шифрования при хранении.

Вице-президент по анализу угроз Cato Networks Этай Маор заявил на RSAC 2026: «Ваш ИИ? Теперь это мой ИИ». SecurityScorecard идентифицировала 135 000 экземпляров OpenClaw, доступных в публичном интернете с небезопасными настройками по умолчанию.

Пятиминутная проверка безопасности

Проверка 1: Доступность шлюза (30 секунд)

Выполните: openclaw config get | grep -E "host|bind"

Если вы видите 0.0.0.0 или ничего, ваш агент доступен любому, кто обнаружит ваш IP и порт. Уязвимость CVE-2026-25253 (CVSS 8.8) позволяла JavaScript на контролируемых злоумышленником веб-страницах незаметно открывать WebSocket-соединения с локальными шлюзами OpenClaw, похищая токены аутентификации и предоставляя полный контроль. Исправлена в версии 2026.1.29.

Исправление:

{ "gateway": { "host": "127.0.0.1" } }

Обеспечьте удалённый доступ только через SSH-туннель: ssh -L 18789:localhost:18789 user@your-vps

Проверка 2: Статус аутентификации (30 секунд)

Выполните: openclaw config get | grep -E "auth|token"

Исследователь fmdz387 обнаружил в конце января почти тысячу публично доступных экземпляров OpenClaw без какой-либо аутентификации. Он мог получить доступ к API-ключам, Telegram-токенам, аккаунтам Slack, полной истории переписки и выполнять административные команды.

Исправление: Сгенерируйте токен командой openssl rand -hex 24 и поместите его в gateway.auth.token. Храните в .env, а не в жёстко прописанном JSON.

Проверка 3: API-ключи в открытом тексте (30 секунд)

Выполните: cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"

OpenClaw хранит всё в файлах Markdown и JSON с открытым текстом. Если ваш ключ Anthropic, ключ OpenAI или любые другие учётные данные видны, они находятся в одном шаге от компрометации.

Исправление: Перенесите учётные данные в .env и ограничьте права доступа: chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json

Немедленно обновите свои API-ключи, если они когда-либо были раскрыты.

Проверка 4: Установленные навыки (60 секунд)

Выполните: openclaw skills list

На ClawHub подтверждено наличие более 820 вредоносных навыков. Кампания ClawHavoc внедрила сотни профессионально выглядящих навыков, которые незаметно передавали файлы .env на внешние серверы. На пике примерно каждый 12-й навык на ClawHub был скомпрометирован.

Для каждого навыка, исходный код которого вы лично не проверяли: изучите его сейчас или удалите командой openclaw skills uninstall <skill-name>

Ограничьте установку:

{ "skills": { "allowSources": ["clawhub:verified"] } }

Проверка 5: Статус версии (30 секунд)

Выполните: openclaw --version

В OpenClaw отсутствует механизм автоматического обновления. По состоянию на середину марта на странице GitHub GHSA опубликовано более 255 рекомендаций по безопасности.

Обновление: npm install -g openclaw@latest openclaw doctor --deep

Внимательно изучите вывод.