ИИ-агент Google нашел дыру в ИИ-агенте Clawdbot — и сам ее закрыл

Эван Отеро, продакт-менеджер Google по инструментам Gemini CLI и Antigravity, протестировал безопасность OpenClaw (бывший Clawdbot) с помощью Gemini CLI Code Security Agent — ИИ-агента для поиска уязвимостей в коде. Тот обнаружил критическую уязвимость типа Local File Inclusion, сгенерировал proof-of-concept и подготовил исправление — полный цикл от находки до мержа занял несколько часов.

Проблема оказалась в функции парсинга ответов модели. OpenClaw позволяет агенту прикреплять файлы через специальные токены вида MEDIA:/path/to/file. Валидация путей отсутствовала: система принимала абсолютные пути (/etc/passwd), домашние директории (~/.clawdbot/auth-profiles.json) и directory traversal (../../etc/shadow). Злоумышленнику достаточно было попросить агента повторить строку с нужным путем — и файл отправлялся прямо в чат атакующего.

Особенно опасно, что уязвимость находилась в парсере, а не в системе исполнения инструментов. Это позволяло обходить все sandbox-ограничения и политики безопасности — даже если у агента отключены все инструменты, файлы все равно утекали. Под угрозой находились API-ключи и OAuth-токены провайдеров, credentials мессенджеров, SSH-ключи и полная история переписок пользователя.

После исправления isValidMedia() принимает только https-ссылки и относительные пути без выхода за пределы рабочей директории. OpenClaw — один из самых быстрорастущих опенсорс-проектов последних месяцев со 150 тысячами звезд на GitHub. Для эффективного использования проект требует широких прав доступа к системе, почте и мессенджерам, что делает подобные уязвимости особенно критичными.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.