Уязвимости безопасности OpenClaw: Критические недостатки фреймворка устранены в версии 2026.3.28.

Критические уязвимости безопасности во фреймворке OpenClaw

Лаборатория безопасности Ant AI провела 3-дневный аудит базового фреймворка OpenClaw и предоставила 33 отчета об уязвимостях. Восемь из этих уязвимостей были исправлены в релизе 2026.3.28, что выявило серьезные проблемы архитектурной безопасности, выходящие за рамки широко обсуждаемых рисков инъекции промптов и вредоносных навыков.

Выявленные конкретные уязвимости

• Обход песочницы через параметры инструментов: В версиях <= 2026.3.24 инструмент message принимает псевдонимы mediaUrl и fileUrl, которые обходят проверку песочницы. Это позволяет агентам, ограниченным песочницей, читать произвольные локальные файлы через эти псевдонимы параметров, фактически нарушая изоляцию.
• Повышение привилегий через сопряжение устройств: Путь команды /pair approve вызывал подтверждение устройства без передачи прав доступа вызывающего в основную проверку. Пользователи с базовыми правами на сопряжение могли подтверждать ожидающие запросы устройств, запрашивающих расширенные права, включая полный административный доступ, предоставляя себе разрешения, которых у них не было.
• Сохранение сессии после отзыва токена: При отзыве токенов шлюз только обновляет сохраненные учетные данные, не разрывая уже аутентифицированные WebSocket-сессии. Отозванные устройства могут продолжать использовать свои активные сессии, пока соединения не разорвутся естественным образом.
• Уязвимость SSRF в провайдере изображений: Провайдер fal для генерации изображений использует прямые запросы как для API-трафика, так и для загрузки изображений, пропуская защищенные от SSRF пути запросов. Вредоносные ретрансляторы могут заставить шлюз запрашивать внутренние URL-адреса и раскрывать ответы внутренних служб через конвейер изображений.
• Деградация списка разрешений: Групповые списки разрешений на уровне маршрутов (например, для Google Chat или Zalo) тихо понижались с allowlist до open вместо сохранения групповых политик. Любой член пространства из списка разрешений мог взаимодействовать с ботом, игнорируя ограничения на уровне отправителя.

Необходимые немедленные действия

• Проверьте свою версию OpenClaw. Если она < 2026.3.28, немедленно обновитесь.
• Просмотрите логи сопряжения на предмет неожиданных предоставлений прав администратора.
• Если вы недавно отозвали токен, принудительно перезапустите шлюз, чтобы завершить оставшиеся WebSocket-сессии.

Аудит Лаборатории безопасности Ant AI подчеркивает, что, хотя много внимания уделяется поведению LLM, границы доверия базового фреймворка и проверка параметров не менее критичны для безопасности. Все 8 рекомендаций по результатам аудита общедоступны на вкладке безопасности OpenClaw на GitHub.