360 інтелектуальні агенти виявили критичну вразливість у OpenClaw, що торкнулася 170 тис. екземплярів по всьому світу

Координована багатомодельна система для спільного виявлення вразливостей, що належить China 360 Digital Security Group, виявила критично небезпечну вразливість у інструменті для агентних ШІ OpenClaw; це вже підтверджено китайською державною базою інформаційних вразливостей CNNVD. Вразливість впливає на понад 170 000 публічно доступних екземплярів у більш ніж 50 країнах і регіонах по всьому світу, дозволяючи атакувальникам лише за правами базового учасника в груповому чаті обходити всі політики безпеки всіх інструментів платформи та безпосередньо викрадати чутливу інформацію серверів.

Серцевина вразливості: архітектурна сліпа зона протоколу MEDIA

Дослідники безпеки 360 назвали цю вразливість «MEDIA-протокол: уразливість витоку локальних файлів із обходом прав інструментів через Prompt Injection у OpenClaw». Її небезпека зумовлена фундаментальним конструктивним недоліком архітектури OpenClaw.

Протокол MEDIA працює на шарі постобробки (output post-processing), який розташований після механізму керування політиками інструментів платформи, тож він дозволяє повністю обходити всі обмеження під час викликів інструментів. Це означає, що навіть якщо адміністратор явно заборонив усі виклики інструментів у OpenClaw, атакувальник все одно може скористатися цією вразливістю лише за правами базового учасника в груповому чаті — без жодних спеціальних дозволів — щоб безпосередньо викрасти чутливі локальні файли сервера.

Такий конструктивний недолік «обходу на шарі постобробки» робить традиційні стратегії захисту на основі білого списку інструментів повністю неефективними: атакувальники можуть за допомогою автоматизованих інструментів здійснювати масштабні скануючі атаки на 170 000 відкритих екземплярів по всьому світу, і це може слугувати початковою точкою для подальших проникнень.

Глобальний сплеск OpenClaw і поточний стан впровадження в Китаї

OpenClaw був відкрито як open source австрійським інженером Peter Steinberger у листопаді 2025 року. Це безкоштовна агентна програма на основі ШІ, яка може надсилати команди через застосунки для миттєвих повідомлень, зокрема WhatsApp, і самостійно керувати комп’ютерними застосунками, вебпереглядачами та пристроями «розумного дому». Нижче ключові дані щодо його глобального впровадження:

Китайський масштаб користувачів — перший у світі: за аналізом SecurityScorecard (м. Нью-Йорк) активні користувачі Китаю — приблизно вдвічі більше, ніж у США, які посідають друге місце

Швидке формування комерційної екосистеми: на технологічних платформах Китаю з’явилися сервіси встановлення та налаштування OpenClaw, ціни — від 7 до 100 доларів США

Локалізовані похідні версії: DuClaw, QClaw, ArkClaw та інші китайські кастомізовані версії виходять одна за одною

Підтримка через державні субсидії: у кількох місцевостях місцеві органи влади обіцяють субсидії підприємствам, що впроваджують віртуальних помічників

Масштаб безпекової загрози: понад 50 країн по всьому світу та понад 170 000 публічно доступних екземплярів OpenClaw перебувають під загрозою цієї вразливості

Подвійне попередження від установ: безпекові органи та державна база вразливостей синхронно реагують

Перш ніж 360 розкрила цю вразливість, дві китайські державні структури з кібербезпеки вже випустили попередження, вказавши, що розгортання OpenClaw має «значні ризики», зокрема можливість віддаленого керування та витоку даних, і опублікували детальні рекомендації з безпеки, що охоплюють від індивідуальних користувачів до підприємств і постачальників хмарних послуг.

Офіційне підтвердження CNNVD означає, що ця загроза безпеці перейшла від оціночного рівня попередження до верифікованої активної поверхні атаки. Дослідники безпеки зазначили, що через те, що всі уражені екземпляри є публічно доступними, а також через низький поріг входу в груповий чат, здійснюваність масштабних автоматизованих атак є надзвичайно високою, тож швидке виправлення є на сьогодні найнагальнішим пріоритетним завданням.

Поширені питання

Чому вразливість у протоколі MEDIA для OpenClaw є особливо небезпечною?

Протокол MEDIA працює на шарі постобробки (output post-processing), який розташований після контролю політик інструментів платформи. Він може повністю обходити всі налаштовані правила заборони для інструментів. Навіть якщо адміністратор вимкнув виклики всіх інструментів, атакувальник усе одно може скористатися цією вразливістю: достатньо прав базового учасника в груповому чаті, щоб напряму читати чутливі локальні файли сервера, через що традиційні політики безпеки для інструментів повністю втрачають чинність.

Як екстрено реагувати на уражені екземпляри OpenClaw?

До публікації офіційного патча рекомендується вжити таких екстрених заходів пом’якшення: обмежити пряме відокремлене (direct) підключення екземплярів OpenClaw до публічної мережі; призупинити пов’язані з протоколом MEDIA функції; запровадити суворий контроль автентифікації доступу для учасників групового чату; постійно моніторити аномальні дії доступу до чутливих каталогів на сервері.

Який вплив ця вразливість має на середовища OpenClaw, розгорнуті для підприємств і урядових структур?

Офіційне підтвердження CNNVD означає, що ця вразливість має високу підтверджуваність здійсненності атак. Для підприємств, які вже розгорнули OpenClaw у виробничих середовищах (зокрема для тих, хто прийняв рішення про впровадження за субсидіями місцевих урядів Китаю), потрібно негайно виконати аудит безпеки, оцінити фактичний рівень впливу та відкритості для витоку даних, особливо для екземплярів, де відкриті функції групового чату та протокол MEDIA перебуває у ввімкненому стані.