Удаленное выполнение кода (RCE) в OpenClaw в один клик
Оригинал: OpenClaw 1-Click Remote Code Execution
Исследователь безопасности продемонстрировал уязвимость удаленного выполнения кода (RCE) в один клик в ИИ-агенте OpenClaw через вредоносную ссылку, содержащую JavaScript-скрипт, выполнение которого занимает миллисекунды. Об этой уязвимости было сообщено; для затронутых версий OpenClaw она отслеживается как CVE-2026-25253.1 OpenClaw описывается как персональный ИИ-ассистент, запускаемый на устройствах пользователя: он отвечает в уже используемых чат-приложениях, а в отличие от SaaS-ассистентов, где данные находятся на чужих серверах, OpenClaw запускается там, где выбирает пользователь: на ноутбуке, в домашней лаборатории или на VPS. «Ваша инфраструктура. Ваши ключи. Ваши данные».2
Исследователь показал, что когда жертва переходит по вредоносной ссылке, в ее браузере выполняется клиентский JavaScript-скрипт, который может украсть токены аутентификации из интерфейса управления OpenClaw через WebSocket-соединение. Затем скрипт использует Cross-Site WebSocket Hijacking, чтобы обойти ограничения localhost для OpenClaw Gateway API. После установления соединения он аутентифицируется с украденным токеном и изменяет конфигурацию агента OpenClaw: отключает подтверждение пользователя и обеспечивает выход за пределы контейнера, что позволяет запускать команды оболочки напрямую на хост-машине.
Процедура
- AML.TA0003 Подготовка ресурсов
AML.T0017 Разработка средств для атаки
Исследователь разработал JavaScript-скрипт для RCE в один клик. - AML.TA0003 Подготовка ресурсов
AML.T0079 Размещение средств атаки
Исследователь разместил вредоносный скрипт на неприметном сайте. - AML.TA0005 Выполнение
AML.T0011.003 Вредоносная ссылка
Когда жертва переходила по ссылке на сайт исследователя, вредоносный JavaScript-скрипт выполнялся в ее браузере. - AML.TA0013 Доступ к учетным данным
AML.T0106 Эксплуатация уязвимостей для доступа к учетным данным
Вредоносный скрипт открывал фоновое окно с интерфейсом управления OpenClaw жертвы, указывая вgatewayUrlWebSocket-адрес сервера исследователя. Интерфейс управления OpenClaw доверяет параметруgatewayUrlбез проверки и автоматически подключается при загрузке, отправляя Gateway-токен на сервер исследователя. - AML.TA0007 Уклонение от защиты
AML.T0107 Эксплуатация уязвимостей для обхода защиты
Вредоносный скрипт использовал Cross-Site WebSocket Hijacking (CSWSH), чтобы обойти сетевые ограничения localhost. Он открывал новое WebSocket-соединение с сервером OpenClaw Gateway на localhost. - AML.TA0012 Повышение привилегий
AML.T0012 Действующие учетные записи
Вредоносный скрипт использовал похищенный Gateway-токен для аутентификации, что позволяло затем выполнять вызовы к OpenClaw Gateway API в системе жертвы. - AML.TA0007 Уклонение от защиты
AML.T0081 Изменение конфигурации ИИ-агента
Вредоносный скрипт отключал защитную функцию OpenClaw, которая запрашивает подтверждение пользователя перед выполнением потенциально опасных команд. Для этого в OpenClaw Gateway API отправлялась следующая полезная нагрузка:
{ "method": "exec.approvals.set", "params": { "defaults": { "security": "full", "ask": "off" } } } - AML.TA0012 Повышение привилегий
AML.T0105 Выход на хост
Вредоносный скрипт отключал песочницу OpenClaw, заставляя агента выполнять команды напрямую на хост-машине, а не внутри Docker-контейнера. Для этого в OpenClaw Gateway API отправлялся запросconfig.patch, устанавливающийtools.exec.hostв значение"gateway". - AML.TA0005 Выполнение
AML.T0050 Интерпретатор команд и сценариев
Вредоносный скрипт добивался удаленного выполнения кода, отправляя запросnode.invoke(RPC-механизм OpenClaw) к API OpenClaw.