Как одна команда в OpenClaw открывает root-доступ
Еще вчера OpenClaw был вашим помощником в работе с GitHub и почтой. Сегодня он может стать дверью для хакеров. Исследователи из Ant AI Security нашли критическую дыру в популярном фреймворке для ИИ-агентов. Уязвимость с кодовым именем GHSA-hc5h-pmr3-3497 позволяет любому пользователю системы получить права суперпользователя через одну команду - /pair approve.
Серьезность уязвимости: Критическая (9.8/10 CVSS). Патч выпущен в OpenClaw 2.8.1 30 марта 2026 года.
OpenClaw, как вы знаете из нашей статьи о настройке OpenClaw, это фреймворк для создания ИИ-агентов, которые работают с внешними сервисами. По умолчанию он запускается с ограниченными правами. Но команда /pair approve, предназначенная для подтверждения пар устройств, не проверяет права пользователя. Хакер может отправить эту команду и получить доступ к системным ресурсам.
Механизм атаки: от пользователя к суперпользователю
В теории, /pair approve должна выполняться только администратором. На практике, проверка прав отсутствует полностью. Атакующий отправляет команду, система думает, что это легитимный запрос, и выдает права root. Дальше - полный контроль над системой.
Что можно сделать с этими правами? Все, что угодно. Украсть данные, установить бэкдор, запустить майнер. В общем, катастрофа. Особенно страшно, если OpenClaw работает в облаке - как мы писали в статье про риски облачного развертывания.
Что нашли исследователи Ant AI Security?
Ant AI Security обнаружила уязвимость во время планового аудита 25 марта 2026 года. Они сразу сообщили разработчикам OpenClaw. Те выпустили патч через 48 часов - рекордное время для критической уязвимости.
Исследователи говорят: "Это классический пример недостаточной валидации прав. Команда /pair approve меняет системные конфигурации, но любой пользователь может ее вызвать. Мы видели подобное в других AI-агентах - например, во взломе Cline через npm."
Срочное обновление до 2.8.1
Исправление доступно в OpenClaw версии 2.8.1, выпущенной 30 марта 2026 года. Если вы используете более старую версию, вы уязвимы. Разработчики полностью переработали систему проверки прав для всех административных команд.
Что нового в 2.8.1:
- Обязательная аутентификация для всех команд с префиксом /pair
- Двухфакторная проверка для критических операций
- Детальное логирование всех попыток использования административных команд
- Интеграция с системами мониторинга прав доступа
Что делать, если вы используете OpenClaw?
Немедленно обновите OpenClaw до версии 2.8.1. Команда: pip install --upgrade openclaw==2.8.1. После обновления перезапустите всех агентов.
Но даже после обновления стоит проверить систему на признаки взлома. Уязвимость существует уже несколько месяцев, и ею могли воспользоваться. Особенно если вы заметили странную активность в логах.
Проверьте:
- Логи на наличие команд
/pair approveот неавторизованных пользователей - Неизвестные процессы в системе
- Изменения в конфигурационных файлах OpenClaw
- Необычную сетевую активность
Будущее уязвимостей в ИИ-агентах
Такие уязвимости будут появляться чаще. ИИ-агенты получают все больше доступа к нашим системам, а безопасность отстает. Как показали недавние взломы ClawdBot через email и утечки данных через prompt injection, мы только в начале пути.
Совет от экспертов: не давайте ИИ-агентам больше прав, чем необходимо. Используйте принцип наименьших привилегий. И следите за обновлениями - как мы видим, даже одна команда может сломать всю безопасность.
И да, если вы разрабатываете своих агентов - посмотрите на архитектуру MicroClaw. Там изначально заложена более строгая модель безопасности.
Неочевидный совет: даже после обновления ограничьте использование команды /pair approve только через VPN или внутреннюю сеть. И никогда не давайте AI-агенту права, которые не дали бы стажеру.
