Под псевдонимом veganmosfet, исследователь безопасности обнародовал детальный разбор цепочки атаки на платформу OpenClaw. Атака осуществляется через одно лишь электронное письмо, отправленное на Gmail жертвы, и дает злоумышленнику полный контроль над устройством благодаря reverse shell.
Основой атаки стали три ключевых особенности конфигурации OpenClaw. Первое: интеграция с Gmail, которая автоматически передает содержание входящих сообщений языковой модели с ролью user, а не менее привилегированной tool. Второе: дефолтное отключение песочницы, что позволяет агенту работать с правами пользователя. Третье: уязвимо реализованная система плагинов, которая выполняет код из расширений без криптографической проверки.
В теле сообщения размещены вредоносные инструкции (prompt injection), маскирующиеся под обычный текст. Несмотря на меры защиты OpenClaw, такие как теги-маркеры, исследователь нашел способ их обойти, вставив искаженный закрывающий тег, который система не распознала. Это позволило злоумышленнику клонировать GitHub-репозиторий с вредоносным плагином.
Исследователь указывает, что OpenClaw работает согласно документации, и проблема prompt injection не решена. В рамках улучшения безопасности он предложил отключить сторонние плагины по умолчанию. Это исследование продолжает ряд предыдущих исследований, выявляющих слабые места OpenClaw, включая тесты устойчивости, проведенные разработчиком Лукасом Вальбуэной.
