Перейти к основному контенту
LiMP VPN
Все новости

Одно сообщение в WhatsApp захватывало ИИ-агента, 2026

Одно сообщение в WhatsApp захватывало ИИ-агента, 2026

Коротко: В июле 2026 года исследователь Чинмохан Наяк раскрыл три опасные уязвимости в OpenClaw — вирусно популярном опенсорсном ИИ-агенте. В связке они позволяют одному сообщению в WhatsApp запустить чужой код на компьютере, где работает агент, — без какого-либо предварительного доступа. Дыры дают обойти фильтр секретов, внедрить системные команды и выйти из песочницы к SSH-ключам, облачным токенам и сокету Docker. Всё исправлено в версии OpenClaw 2026.6.6, а сам случай — предупреждение о том, чем чревато давать ИИ-агентам реальный доступ к системе.

Что произошло

13 июля 2026 года исследователь по безопасности Чинмохан Наяк опубликовал цепочку из трёх уязвимостей в OpenClaw — опенсорсном ИИ-агенте, который читает сообщения, запускает инструменты и может быть подключён к мессенджерам вроде WhatsApp. Наяк показал, что отправленного извне сообщения в WhatsApp достаточно, чтобы запустить выполнение кода на компьютере с агентом, — при этом у злоумышленника нет никакого предварительного доступа.

Это тот же класс слабых мест ИИ-инструментов, о котором мы предупреждали в материале про опасные уязвимости в ИИ-приложениях: угроза не в самой модели, а в мощном доступе к системе, который мы ей выдаём. Базовые привычки защиты аккаунтов по-прежнему важны, но здесь уязвимая поверхность — это права самого агента.

Как устроена цепочка атаки

Три дыры складываются в единый путь к хосту. Первая — обход фильтра секретов: фильтр OpenClaw должен был не давать утекать учётным данным, но не учитывал стартовые переменные интерпретаторов, такие как NODE_OPTIONS, PYTHONSTARTUP и BASH_ENV, через которые можно внедрить команды. Вторая — инъекция системных команд в механизме фильтрации среды выполнения на хосте. Третья — обход песочницы по пути: проверка изоляции смотрела лишь, лежит ли путь внутри запрещённой директории, но не проверяла обратное — не находится ли запрещённая директория внутри запрошенного пути. Эта логическая брешь позволяла подмонтировать родительские папки вроде /home или /var и полностью выйти из песочницы.

Уязвимости с оценками CVSS 8.8, 8.8 и 8.4 подтверждённо эксплуатировались на OpenClaw 2026.6.1. В худшем случае злоумышленник мог похитить учётные данные, закрепиться в системе и выполнить произвольный код — превратив полезного ассистента в инструмент удалённого доступа, близкий родственник заражений через файлы из нашего материала о сайтах-двойниках, раздающих трояны.

Чем это опасно для вас и ваших данных

Большинство людей не запускают OpenClaw, но урок универсален: ИИ-агент безопасен ровно настолько, насколько ограничен доступ, который вы ему дали. Когда ассистент может читать ваши сообщения, выполнять команды в оболочке и добираться до файлов, одного подготовленного ввода хватает для полной компрометации устройства. Через эту цепочку злоумышленник мог дотянуться до SSH-ключей, токенов AWS, секретов GPG и сокетов Docker — мастер-ключей к вашим аккаунтам и инфраструктуре.

По мере того как подключённые к мессенджерам ИИ-ассистенты расходятся по смартфонам и ноутбукам, недоверенное сообщение превращается в возможный канал атаки. Поэтому вопросы безопасности здесь сугубо практические: какие инструменты агенту разрешено запускать, чьим сообщениям он доверяет и отделён ли он от остальной системы.

Как защититься

Обновите OpenClaw до 2026.6.6 или новее. Пропатченная версия закрывает все три дыры. Если вы им пользуетесь, разработчик также советует включить песочницу для вторичных сессий, убрать exec из разрешённых инструментов и сузить список доверенных каналов.

Давайте ИИ-агентам минимум доступа. Не позволяйте ассистенту читать сообщения от незнакомцев и держите его подальше от ваших учётных данных и боевых систем. Любое внешнее сообщение, доходящее до агента, считайте недоверенным вводом.

Своевременно обновляйте устройства и приложения. Быстрые апдейты — самая надёжная защита от подобных цепочек эксплойтов; тот же принцип лежит в основе нашего обзора, как работают вместе VPN, антивирус и фаервол.

Шифруйте соединение в недоверенных сетях. VPN не залатает уязвимость в софте, но в публичном или общем Wi-Fi он уводит трафик в шифрованный туннель, из-за чего злоумышленники в той же сети не перехватят ваши сессии и не подменят данные. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы, а больше новостей о приватности — в нашем блоге.

Источники

Материал основан на раскрытии исследователя Чинмохана Наяка и разборе, о котором написали The Hacker News и Cybersecurity News, а по-русски — Anti-Malware.ru (13 июля 2026).

Одно сообщение в WhatsApp захватывало ИИ-агента, 2026 | LiMP VPN