Обновления безопасности OpenClaw устраняют уязвимости, связанные с раскрытием учетных данных через QR-коды и автоматической загрузкой плагинов.
В OpenClaw исправлены две критические уязвимости безопасности
OpenClaw выпустил два патча безопасности для устранения серьезных уязвимостей в платформе. Патчи были выпущены в версии 2026.3.12 и следуют за другой проблемой безопасности (GHSA-5wcw-8jjv-m286), которая была исправлена накануне.
Уязвимость при сопряжении через QR-код
Система сопряжения через QR-код, используемая для настройки новых устройств, встраивала постоянные учетные данные шлюза непосредственно в QR-код без срока действия. Это означало, что любой, кто сделал скриншот QR-кода, получал постоянный доступ ко всем возможностям агента. Уязвимость была исправлена в v2026.3.12, которая теперь использует временные коды.
Если вы когда-либо делились своим QR-кодом для настройки где-либо (Discord, Reddit, Twitter, Facebook и т.д.), вам следует немедленно обновить токен шлюза.
Уязвимость автоматической загрузки плагинов
Вторая уязвимость заключалась в автоматической загрузке и запуске плагинов рабочего пространства при клонировании репозитория. Система выполняла плагины без запроса подтверждения пользователя или проверки надежности источника. Это также было исправлено в v2026.3.12.
Статистика подверженности
Согласно данным SecurityScorecard за прошлую неделю, в открытом интернете доступно более 40 000 экземпляров OpenClaw. Из них примерно 12 000 были уязвимы для удаленного выполнения кода (RCE). Фактическое количество, вероятно, сейчас выше.
Если вы используете OpenClaw, вам следует немедленно обновить его до последней версии, чтобы устранить эти проблемы безопасности.
📖 Read the full source: r/openclaw
👀 Смотрите также
Надежно установите OpenClaw на VPS с помощью Tailscale и других инструментов.
Пользователи OpenClaw, ищущие безопасную настройку для самостоятельного размещения, должны рассмотреть эти меры для повышения безопасности и минимизации рисков. Настройка придает первостепенное значение безопасности, используя Tailscale для устранения прямого публичного доступа и внедрения стратегий многослойной защиты, таких как усиление SSH, <code>fail2ban</code> для защиты от атак методом подбора пароля, <code>UFW</code> для управления файрволом и обеспечение автоматических обновлений для вашей системы.
Статический анализ 48 приложений, сгенерированных ИИ: 90% имели уязвимости в безопасности
Разработчик проверил 48 публичных GitHub-репозиториев, созданных с помощью Lovable, Bolt и Replit. 90% из них имели хотя бы одну уязвимость. Распространенные проблемы: пробелы в аутентификации (44%), функции Postgres SECURITY DEFINER (33%), BOLA/IDOR (25%) и закоммиченные секреты (25%).
Защита разделителями повышает устойчивость Gemma 4 к инъекциям промптов с 21% до 100% в тестовом бенчмарке из 6100+ примеров
Бенчмарк протестировал 15 моделей на 7 типах атак (6100+ тестов), используя случайные разделители вокруг ненадежного контента. Gemma 4 E4B улучшила показатель защиты с 21,6% до 100% при использовании разделителя + строгого промпта.
Claude Code CVE-2026-39861: Побег из изолированной среды через симлинк
Уязвимость высокой степени серьезности в песочнице Claude Code позволяет произвольную запись файлов за пределы рабочей области через симлинки, что может привести к выполнению кода.