Удаленное выполнение кода (RCE) в OpenClaw в один клик

Оригинал: OpenClaw 1-Click Remote Code Execution

Исследователь безопасности продемонстрировал уязвимость удаленного выполнения кода (RCE) в один клик в ИИ-агенте OpenClaw через вредоносную ссылку, содержащую JavaScript-скрипт, выполнение которого занимает миллисекунды. Об этой уязвимости было сообщено; для затронутых версий OpenClaw она отслеживается как CVE-2026-25253.1 OpenClaw описывается как персональный ИИ-ассистент, запускаемый на устройствах пользователя: он отвечает в уже используемых чат-приложениях, а в отличие от SaaS-ассистентов, где данные находятся на чужих серверах, OpenClaw запускается там, где выбирает пользователь: на ноутбуке, в домашней лаборатории или на VPS. «Ваша инфраструктура. Ваши ключи. Ваши данные».2

Исследователь показал, что когда жертва переходит по вредоносной ссылке, в ее браузере выполняется клиентский JavaScript-скрипт, который может украсть токены аутентификации из интерфейса управления OpenClaw через WebSocket-соединение. Затем скрипт использует Cross-Site WebSocket Hijacking, чтобы обойти ограничения localhost для OpenClaw Gateway API. После установления соединения он аутентифицируется с украденным токеном и изменяет конфигурацию агента OpenClaw: отключает подтверждение пользователя и обеспечивает выход за пределы контейнера, что позволяет запускать команды оболочки напрямую на хост-машине.

Процедура

  1. AML.TA0003 Подготовка ресурсов

    AML.T0017 Разработка средств для атаки

    Исследователь разработал JavaScript-скрипт для RCE в один клик.
  2. AML.TA0003 Подготовка ресурсов

    AML.T0079 Размещение средств атаки

    Исследователь разместил вредоносный скрипт на неприметном сайте.
  3. AML.TA0005 Выполнение

    AML.T0011.003 Вредоносная ссылка

    Когда жертва переходила по ссылке на сайт исследователя, вредоносный JavaScript-скрипт выполнялся в ее браузере.
  4. AML.TA0013 Доступ к учетным данным

    AML.T0106 Эксплуатация уязвимостей для доступа к учетным данным

    Вредоносный скрипт открывал фоновое окно с интерфейсом управления OpenClaw жертвы, указывая в gatewayUrl WebSocket-адрес сервера исследователя. Интерфейс управления OpenClaw доверяет параметру gatewayUrl без проверки и автоматически подключается при загрузке, отправляя Gateway-токен на сервер исследователя.
  5. AML.TA0007 Уклонение от защиты

    AML.T0107 Эксплуатация уязвимостей для обхода защиты

    Вредоносный скрипт использовал Cross-Site WebSocket Hijacking (CSWSH), чтобы обойти сетевые ограничения localhost. Он открывал новое WebSocket-соединение с сервером OpenClaw Gateway на localhost.
  6. AML.TA0012 Повышение привилегий

    AML.T0012 Действующие учетные записи

    Вредоносный скрипт использовал похищенный Gateway-токен для аутентификации, что позволяло затем выполнять вызовы к OpenClaw Gateway API в системе жертвы.
  7. AML.TA0007 Уклонение от защиты

    AML.T0081 Изменение конфигурации ИИ-агента

    Вредоносный скрипт отключал защитную функцию OpenClaw, которая запрашивает подтверждение пользователя перед выполнением потенциально опасных команд. Для этого в OpenClaw Gateway API отправлялась следующая полезная нагрузка:

    { "method": "exec.approvals.set",
      "params": { "defaults": { "security": "full", "ask": "off" } }
    }
    
  8. AML.TA0012 Повышение привилегий

    AML.T0105 Выход на хост

    Вредоносный скрипт отключал песочницу OpenClaw, заставляя агента выполнять команды напрямую на хост-машине, а не внутри Docker-контейнера. Для этого в OpenClaw Gateway API отправлялся запрос config.patch, устанавливающий tools.exec.host в значение "gateway".
  9. AML.TA0005 Выполнение

    AML.T0050 Интерпретатор команд и сценариев

    Вредоносный скрипт добивался удаленного выполнения кода, отправляя запрос node.invoke (RPC-механизм OpenClaw) к API OpenClaw.

Источники

  1. 1-Click RCE To Steal Your Moltbot Data and Keys (CVE-2026-25253)
  2. CVE-2026-25253
  3. openclaw