Основы Интернет - технологий.

ИБ-исследователи из компании Cyera раскрыли сразу четыре уязвимости в OpenClaw, которые можно объединить в полноценную цепочку атаки, названную Claw Chain. По словам специалистов, баги позволяют атакующему закрепиться в системе, похитить конфиденциальные данные и получить устойчивый контроль над зараженной машиной. В своем отчете исследователи рассказывают о следующих уязвимостях: CVE-2026-44112 (9,6 балла по шкале CVSS) — TOCTOU-баг (time-of-check/time-of-use) в OpenShell, позволяющий обходить ограничения песочницы и записывать файлы за пределами разрешенного каталога; CVE-2026-44113 (7,7 балла по шкале CVSS) — аналогичная TOCTOU-уязвимость для чтения файлов вне песочницы; CVE-2026-44115 (8,8 балла по шкале CVSS) — ошибка в механизме фильтрации команд, позволяющая внедрять shell expansion-токены в heredoc и выполнять неразрешенные команды во время исполнения; CVE-2026-44118 (7,8 балла по шкале CVSS) — баг контроля доступа, из-за которого локальный клиент мог выдавать себя за владельца агента и получать расширенные привилегии. Как объясняют специалисты, проблема CVE-2026-44112 позволяет злоумышленнику менять конфигурацию OpenClaw, устанавливать бэкдоры и добиваться устойчивого присутствия в системе. В свою очередь CVE-2026-44113 дает возможность читать системные файлы, учетные данные и внутренние артефакты. В результате полная цепочка атаки выглядит так: вредоносный плагин, промпт-инжект или скомпрометированный внешний input обеспечивают выполнение кода внутри OpenShell; CVE-2026-44113 и CVE-2026-44115 используются для кражи секретов, API-ключей и конфиденциальных файлов; затем через CVE-2026-44118 атакующий получает доступ к рантайму агента на уровне владельца; финальный этап — эксплуатация CVE-2026-44112 для установки бэкдоров и закрепления в системе. Особенно опасной исследователи называют проблему CVE-2026-44118. Дело в том, что OpenClaw доверял клиентскому флагу senderIsOwner, который определял, имеет ли пользователь доступ к инструментам, предназначенным только для владельца. При этом значение никак не проверялось на стороне сервера и фактически могло быть подделано. Разработчики OpenClaw сообщили, что уже устранили проблему: теперь система использует отдельные bearer-токены для owner- и non-owner-клиентов, а статус владельца определяется только на основе аутентифицированной сессии. Заголовок senderIsOwner больше не используется и не учитывается. Все четыре уязвимости были исправлены в OpenClaw 2026.4.22, и пользователям рекомендуют установить обновление как можно скорее. В Cyera подчеркивают, что подобные атаки особенно опасны из-за специфики ИИ-агентов. По сути, злоумышленник использует самого агента как инструмент для атак внутри инфраструктуры: «Каждый этап выглядит как нормальная активность агента, поэтому традиционные средства защиты могут не заметить такую атаку. Это увеличивает масштаб потенциального ущерба и серьезно усложняет обнаружение».