- Исследователь под псевдонимом veganmosfet продемонстрировал атаку на OpenClaw, позволяющую выполнить удалённый код с помощью одного письма в Gmail без взаимодействия пользователя.
- Уязвимость связана с дефолтной конфигурацией OpenClaw: автоматической передачей писем языковой модели с правами пользователя, отключённой песочницей и автоматическим выполнением плагинов из рабочей директории без проверки.
- Предложены рекомендации по защите, включая изоляцию суб-агентов в Docker и отключение сторонних плагинов по умолчанию.
Исследователь информационной безопасности под псевдонимом veganmosfet опубликовал подробный разбор цепочки атаки на систему OpenClaw, которая позволяет атакующему получить полный контроль над машиной жертвы с помощью всего лишь одного электронного письма, отправленного на её Gmail-аккаунт. При этом жертва не должна совершать никаких действий — письмо исполняется автоматически благодаря особенностям стандартной конфигурации OpenClaw.
Уязвимость возникает из сочетания трёх факторов. Во-первых, Gmail-хук в OpenClaw автоматически передаёт содержимое всех входящих писем языковой модели, при этом с высокой ролью пользователя (user), а не с ограниченной ролью (tool). Во-вторых, песочница, предназначенная ограничивать права выполнения, отключена по умолчанию, поэтому агент работает с правами обычного пользователя операционной системы. И в третьих, система плагинов OpenClaw при перезапуске автоматически сканирует рабочую директорию и выполняет код из любых найденных расширений без криптографической проверки подлинности.
В теле вредоносного письма содержится так называемый prompt injection — скрытый вредоносный код, предназначенный ввести языковую модель в заблуждение. Несмотря на встроенную защиту OpenClaw, которая заключает внешний текст в специальные теги и предупреждает модель не выполнять команды из этого текста, исследователь обнаружил изящный обход: он использовал поддельный закрывающий тег с одной опечаткой в слове CONTENT, что пропустило фильтр, но было распознано GPT-5.2 как завершение внешнего контента. В результате последующий текст модель восприняла как доверенные пользовательские команды.
Далее агент скачивает вредоносный плагин с репозитория GitHub, размещает его в своей рабочей папке и перезапускается. При этом механизм загрузки плагинов автоматически активирует вредоносное расширение, обеспечивая reverse shell и полный контроль злоумышленника над системой.
Создатель OpenClaw, Питер Штайнбергер, признаёт наличие проблемы и рекомендует ограничивать права агента, однако безопасная настройка остаётся на усмотрение пользователей. Исследователь veganmosfet предложил улучшения безопасности: отключение сторонних плагинов по умолчанию, использование Docker-песочниц для изоляции суб-агентов и запрет инструментов в неосновных сессиях. Эти меры направлены на снижение рисков удалённого исполнения кода в OpenClaw.
Разбор veganmosfet дополняет серию последних исследований надёжности и безопасности OpenClaw. Например, разработчик Лукас Вальбуэна ранее показал, что агент набирает от 2 до 39 баллов из 100 в тестах на устойчивость к утечкам системных промптов, что указывает на серьёзные уязвимости в текущей реализации.
Таким образом, исследование подчёркивает высокую степень риска использования OpenClaw в стандартной конфигурации и подчёркивает, что доработки механизмов безопасности являются приоритетом для защиты пользователей от возможных атак.
