Исследователь в области информационной безопасности под псевдонимом veganmosfet опубликовал анализ цепочки атаки на OpenClaw. В ходе атаки одно электронное письмо, отправленное на Gmail жертвы, позволяет злоумышленнику получить полный контроль над системой без каких-либо действий со стороны пользователя. особенности конфигурации OpenClaw
Атака использует три особенности конфигурации OpenClaw: во-первых, Gmail-хук передает входящие письма языковой модели с высокой привилегией, во-вторых, песочница отключена по умолчанию, и агент работает от имени пользователя, в-третьих, система плагинов автоматически выполняет код из расширений, не подтверждая его подлинность.
В теле письма исследователь применил prompt injection, внедрив вредоносные инструкции под видом обычного текста. Несмотря на попытки защиты OpenClaw, данный метод обхода не распознается системой. Исследователь предложил отключить сторонние плагины по умолчанию, а также опубликовал конфигурации для повышения безопасности.
Это исследование дополняет предшествующие работы по уязвимостям OpenClaw, где также были выявлены проблемы с безопасностью. Создатель проекта рекомендует пользователям ограничивать права агентов.