Для атак оказались открыты 40 тысяч экземпляров OpenClaw

Около 40 тысяч открытых экземпляров ИИ-ассистента OpenClaw, доступных из публичного интернета, обнаружила компания SecurityScorecard. Проблема в большинстве случаев заключается в неправильных настройках инструмента, который ранее назывался Clawdbot и Moltbot. Специалисты нашли 40 214 уязвимых экземпляров на 28 663 уникальных IP-адресах. Используя их, злоумышленники могут получить полный доступ к системам, с которыми работает OpenClaw.

Атаки с использованием данных уязвимостей уже идут полным ходом. Исследователи связали 549 открытых экземпляров с предыдущими взломами. Ещё 1493 содержат известные уязвимости, то есть в общей сложности потенциально небезопасны 63% всех найденных установок. 12 812 экземпляров можно взломать через удалённое выполнение кода.

Аналитики утверждают, что чем более централизован доступ, тем сильнее и глубже атака. Эта закономерность с ИИ-агентами повторяет аналогичную с облачными инструментами и теневым ИТ.

Помимо RCE, среди уязвимостей имеется также непрямая инъекция промптов. Атакующий добавляет вредоносные инструкции в сообщение или на сайт. ИИ-агент читает их и слепо выполняет написанное. Владельцы могут даже не заметить, что у кого-то из них API-ключи от сторонних сервисов находятся в свободном доступе прямо через панели управления.

Специалисты советуют строго ограничивать права доступа, оставляя только действительно необходимые. Также полезно регулярно проверять настройки и не предоставлять ассистенту долгосрочные разрешения. Применять принцип нулевого доверия стоит ко всем агентам и интеграциям без исключений. Важно следить за логикой работы и инструкциями, которые получает агент. К каждому из них надо относиться как к привилегированной учётной записи, так как ошибка в этом случае может стоить дорого.

Среди рекомендаций экспертов есть также отказ от установки ИИ-агентов в системы с доступом к важным данным. Важно сначала обеспечить изоляцию и провести эксперименты, а уже потом доверять новой технологии серьёзные задачи.