Какие версии OpenClaw уязвимы?

Все версии OpenClaw до 2.0.5 включительно уязвимы для атаки sandbox escape (CVE-2026-0420).

Как обновить OpenClaw до безопасной версии?

Выполните команду: pip install openclaw==2.1.0 --upgrade. После обновления обязательно перезапустите всех ваших ИИ-агентов.

Какие файлы могут быть прочитаны через эту уязвимость?

Атакующий может получить доступ к любым файлам, доступным для пользователя, под которым работает процесс OpenClaw, включая системные файлы (/etc/passwd, /etc/shadow) и конфиденциальные данные (ключи API, пароли) в домашней директории.

Затронуты ли облачные развертывания OpenClaw?

Да, уязвимость одинаково опасна как для локальных, так и для облачных развертываний. Немедленно обновите все инстансы.

Уязвимость CVE-2026-0420 в OpenClaw: как обновить до v2.1.0 | 31.03.2026

Ржавый замок на сарае с данными

Вчера, 30 марта 2026 года, каждый, кто запускал ИИ-агента на OpenClaw версии ниже 2.1.0, имел на сервере не агента, а троянца. Исследователь Артем Л. обнаружил в фреймворке дыру, которую можно проткнуть пальцем. Уязвимость CVE-2026-0420 позволяет любому LLM, использующему OpenClaw для вызова инструментов, выбраться из песочницы и читать что угодно – от /etc/passwd до файла с приватными ключами в домашней директории.

OpenClaw позиционировал себя как безопасный фреймворк для изоляции инструментов. Звучало логично: даешь модели доступ только к конкретным функциям, а она в ответ не лезет в системные файлы. На практике все оказалось с точностью до наоборот.

Версии OpenClaw до 2.0.5 включительно уязвимы. Если вы не обновились до 2.1.0 за последние 24 часа, ваши данные уже могли быть скомпрометированы.

Как работает взлом? Проще, чем кажется

В основе OpenClaw лежала идея, что вызовы инструментов (tool calling) проходят через строгую валидацию. Но в механизме сериализации аргументов нашли баг, который даже стыдно называть багом – это скорее архитектурный провал.

Атакующий мог сформировать специальный prompt для LLM (например, для GPT-4.5 Turbo или Claude 4), заставив модель передать в инструмент путь к файлу в виде сложного объекта. Система валидации, вместо того чтобы отклонить запрос, падала с ошибкой, но перед этим – выполняла системный вызов для чтения файла. Sandbox превращался в решето.

Это не первая проблема с изоляцией в экосистеме. Год назад похожим образом сливали данные через prompt injection. Но тогда хотя бы нужен был доступ к промпту. Сейчас же достаточно, чтобы модель имела в своем арсенале любой инструмент для работы с файлами – и она сама, без подсказки, могла начать рыскать по диску. Звучит как сюжет для хоррора про ИИ, но это реальность на 31 марта 2026 года.

💡

Уязвимость затрагивает все популярные LLM, интегрированные с OpenClaw: GPT-4.5 Turbo, Claude 4, Gemini 2.5 Pro, а также локальные модели через Llama.cpp версии 0.12.0 (которую, кстати, тоже недавно патчили от RCE).

Что делать? Действовать быстро и без паники

Теория безопасности говорит: изолируй, проверяй, аудируй. Практика кричит: поставь патч, черт возьми.

1 Остановите все агенты на OpenClaw

Сейчас. Не ждите завершения цикла, не сохраняйте состояние. Просто остановите. Каждая секунда работы уязвимой версии – это риск.

2 Обновитесь до OpenClaw 2.1.0

Команда одна. Не ищите workaround, они все уязвимы.

pip install openclaw==2.1.0 --upgrade – это обязательный ритуал на сегодня. В новой версии полностью переработан механизм сериализации и добавлена двойная проверка всех путей файловой системы.

3 Проверьте логи на признаки компрометации

Откройте логи вашего агента за последнюю неделю. Ищите подозрительные операции чтения файлов за пределами разрешенных директорий. Если нашли – считайте, что ваша система скомпрометирована. Меняйте ключи API, пароли, сертификаты. Да, это больно. Но лучше, чем найти свои данные в утечке завтра.

Почему это происходит? Потому что скорость убивает безопасность

OpenClaw – проект, который взлетел за шесть недель. За хайпом и звездами на GitHub никто не заметил, как архитектура безопасности строилась на песке. Буквально.

Та же история была с Cline и инъекцией в npm-пакет. Экосистема ИИ-агентов развивается так быстро, что безопасность всегда отстает на два шага. Разработчики добавляют фичи, чтобы угнаться за конкурентами, а ревью кода для security-critical компонентов занимает пять минут между звонками.

И да, если вы думаете, что облачные развертывания безопаснее, то вы ошибаетесь. Уязвимость одинаково работает и локально, и в облаке. Наш гид по защите данных в облаке устарел ровно вчера.

Что будет дальше? Ожидайте цепную реакцию

CVE-2026-0420 – это не конец, а начало. Исследователи уже копают в коде OpenClaw и его форках (MicroClaw, NanoClaw) в поисках похожих лазеек. Проблема в том, что архитектура tool calling во многих фреймворках строится по одним и тем же лекалам – значит, и уязвимости будут типовыми.

Мой прогноз? В течение недели мы увидим аналогичные advisories для других популярных агентских фреймворков. А пока – обновите OpenClaw. Потом проверьте, не используете ли вы уязвимые версии в экосистеме Claude.

И запомните: если ваш ИИ-агент вдруг стал интересоваться содержимым /etc/shadow или ~/.aws/credentials, это не любознательность. Это взлом.

P.S. И да, если вы до сих пор верите, что OpenClaw просто хочет ваши пароли в шутку, то сегодняшний день должен переубедить вас. Он их действительно хочет. И теперь знает, как взять.

Подписаться на канал

Критическая уязвимость в OpenClaw: как sandbox escape угрожает локальным файлам и как срочно обновить фреймворк