OpenClaw обнаружена цепочка уязвимостей «Claw Chain»: под угрозой учётные данные и права доступа

Исследователи в области кибербезопасности недавно раскрыли серию взаимосвязанных уязвимостей в открытом AI-фреймворке OpenClaw, объединённых под названием «Claw Chain». Эти четыре бреши могут быть использованы атакующими для построения полной цепочки атаки: от начального проникновения, кражи учётных данных, повышения привилегий до установки постоянного бэкдора. На данный момент команда сопровождения OpenClaw получила отчёт от компании Cyera, специализирующейся на безопасности данных, и выпустила все необходимые исправления.

Обнаруженные уязвимости получили идентификаторы CVE-2026-44112, CVE-2026-44115, CVE-2026-44118 и CVE-2026-44113. Из них CVE-2026-44118 (CVSS 7.8) представляет собой уязвимость повышения привилегий из-за некорректной проверки сессий; CVE-2026-44113 (CVSS 7.8) — это TOCTOU-уязвимость (проверка времени и использования), позволяющая неавторизованному злоумышленнику получить доступ к конфигурационным файлам системы, API-ключам, учётным данным и другим чувствительным данным. Две другие уязвимости связаны с утечкой переменных окружения и риском выполнения кода. В совокупности эти бреши позволяют обойти защитные границы AI-агента и угрожать подключённым внутренним системам, облачным средам и SaaS-приложениям.

OpenClaw, будучи одним из самых быстрорастущих инструментов для AI-агентов, активно используется разработчиками для развёртывания автономных AI-помощников. Инцидент с цепочкой уязвимостей «Claw Chain» вновь напоминает: при быстрой интеграции AI-агентов в чувствительные бизнес-среды необходимо одновременно внедрять строгие механизмы проверки безопасности и контроля доступа. В противном случае компании рискуют столкнуться с утечкой данных и потерей контроля над правами доступа. Эксперты по безопасности рекомендуют пользователям немедленно обновиться до последней исправленной версии и провести оценку собственных развёртываний на предмет аналогичных векторов атак.