Исследователи из Zenity Labs показали, что популярный открытый AI-агент OpenClaw (ранее Clawdbot) уязвим к полной компрометации через поддельные документы: злоумышленник может установить постоянный бэкдор и получить контроль над компьютером пользователя.
Атака основана на непрямой подстановке промптов (indirect prompt injection). Достаточно один раз обработать специально подготовленный документ, дополнительное действие пользователя не требуется.
По словам исследователей, причина в архитектуре OpenClaw: агент обрабатывает содержимое из ненадёжных источников, таких как почта или общие документы, в том же контексте, что и прямые инструкции от пользователя. Нет разделения между запросами пользователя и текстом, который агент «подхватывает» из внешних источников, при этом он в основном полагается на встроенные механизмы безопасности языковой модели.
Опасность усиливается тем, что OpenClaw, в отличие от обычных чат-ботов, ориентирован на действия: он может выполнять команды, читать и записывать файлы и работает с теми правами, которые получил при установке. Если агенту передать вредоносные инструкции, возможный ущерб может быть очень серьёзным.
В демонстрации Zenity Labs использован типичный корпоративный сценарий: сотрудник устанавливает OpenClaw и подключает его к Slack и Google Workspace. Атака начинается с внешне безобидного документа. Внутри текста спрятан скрытый промпт. Когда OpenClaw обрабатывает файл, его «убеждают» создать новый канал связи — Telegram-бота с ключом доступа, заранее подготовленным атакующим.
После создания интеграции OpenClaw начинает принимать команды от злоумышленника. Первичный документ уже не нужен, у атакующего появляется постоянный скрытый канал управления, который остаётся невидимым для компании. Точный текст промпта исследователи сознательно не раскрывают.
Дополнительный риск связан с возможностью закрепиться в системе. OpenClaw использует конфигурационный файл SOUL.md, который определяет поведение агента. Через бэкдор злоумышленник может изменить этот файл. В своём прототипе Zenity Labs настроили задачу, которая каждые две минуты перезаписывает SOUL.md. Даже если удалить исходную чат-интеграцию, атакующий сохраняет контроль.
На завершающем этапе исследователи показали установку C2-маячка (командно‑контрольного). В этом случае скомпрометированный AI-агент превращается в обычную точку входа для хакеров: через него можно перемещаться по внутренней сети, красть учётные данные или распространять программу‑вымогатель.
Атака работает с разными языковыми моделями, включая GPT-5.2, и через различные интеграции. «Если персональные AI‑ассистенты будут работать на наших устройствах и в рабочих процессах, снижение требований к безопасности недопустимо», — пишут исследователи. Доступны видео‑демонстрации атаки.
Это уже не первый тревожный сигнал. Ранее разработчик протестировал OpenClaw с помощью инструмента для анализа безопасности ZeroLeaks. Система набрала 2 из 100 баллов, при этом извлечение данных достигало 84 %, а успешные атаки с подстановкой промптов — 91 % при использовании распространённых языковых моделей. Лучше остальных показал себя Claude Opus 4.5 с 39 из 100 баллов, но и этот результат исследователь считает неприемлемым с учётом уровня доступа OpenClaw к компьютеру.
Системные промпты, настройки инструментов и файлы памяти можно было прочитать почти без усилий. Простой скан обнаружил 954 экземпляра OpenClaw с открытыми портами шлюза, многие без какой‑либо аутентификации. Представленный бэкдор — практическая иллюстрация того, как эти уязвимости могут использоваться в реальных условиях.
Источник: Zenity Labs, ZeroLeaks, The Decoder.
