Уже больше месяца специалисты по безопасности предупреждают о рисках использования OpenClaw — вирусного инструмента на базе искусственного интеллекта (artificial intelligence), который стремительно завоевал популярность среди разработчиков. Недавно устранённая уязвимость наглядно показывает, почему.

OpenClaw, представленный в ноябре и уже собравший 347 000 звёзд на Github, по замыслу берёт под контроль компьютер пользователя и взаимодействует с другими приложениями и платформами. Он помогает в организации файлов, поиске информации и онлайн-покупках. Чтобы быть полезным, ему требуется доступ — и немалый — к максимально широкому кругу ресурсов. Среди них: Telegram, Discord, Slack, локальные и сетевые файлы, учётные записи и активные сессии. Как только доступ предоставлен, OpenClaw действует точно так же, как сам пользователь, обладая теми же правами и возможностями.

Серьёзные последствия

На этой неделе разработчики OpenClaw выпустили обновления безопасности, устраняющие три уязвимости высокой степени опасности. Особенно тревожной оказалась одна из них — CVE-2026-33579. Её уровень опасности оценивается от 8,1 до 9,8 баллов из 10, в зависимости от используемой шкалы. Причина — серьёзная: любой, кто имеет привилегии сопряжения (наименьший уровень доступа), может получить административные права.

После этого злоумышленник получает контроль над всеми ресурсами, к которым подключён экземпляр OpenClaw.

«Практические последствия крайне серьёзны. Атакующий, обладающий правами operator.pairing — минимальными в системе OpenClaw — может в тихом режиме одобрять запросы на сопряжение устройств с правами operator.admin. Как только такое одобрение проходит, атакующее устройство получает полный административный доступ к экземпляру OpenClaw. Дополнительные уязвимости не требуются. Не нужно никакого взаимодействия с пользователем после первоначального сопряжения».

Как отмечается в отчёте компании Blink, разрабатывающей приложения на базе ИИ: «Для организаций, использующих OpenClaw как корпоративную платформу, компрометация устройства с правами operator.admin означает доступ ко всем подключённым источникам данных, кражу учётных данных из среды навыков агента, выполнение произвольных команд и переход к другим подключённым сервисам. Слово „повышение привилегий“ здесь неуместно — речь идёт о полном захвате экземпляра».

For more than a month, security practitioners have been warning about the perils of using OpenClaw, the viral AI agentic tool that has taken the development community by storm. A recently fixed vulnerability provides an object lesson for why.

OpenClaw, which was introduced in November and now boasts347,000 starson Github, by design takes control of a user’s computer and interacts with other apps and platforms to assist with a host of tasks, including organizing files, doing research, and shopping online. To be useful, it needs access—and lots of it—to as many resources as possible. Telegram, Discord, Slack, local and shared network files, accounts, and logged in sessions are only some of the intended resources. Once the access is given, OpenClaw is designed to act precisely as the user would, with the same broad permissions and capabilities.

Severe impact

Earlier this week, OpenClaw developers released security patches for three high-severity vulnerabilities. The severity rating of one in particular,CVE-2026-33579, is rated from 8.1 to 9.8 out of a possible 10 depending on the metric used—and for good reason. It allows anyone with pairing privileges (the lowest-level permission) to gain administrative status. With that, the attacker has control of whatever resources the OpenClaw instance does.

“The practical impact is severe,” researchers from AI app-builder Blinkwrote. “An attacker who already holds operator.pairing scope—the lowest meaningful permission in an OpenClaw deployment—can silently approve device pairing requests that ask for operator.admin scope. Once that approval goes through, the attacking device holds full administrative access to the OpenClaw instance. No secondary exploit is needed. No user interaction is required beyond the initial pairing step.”

The post continued: “For organizations running OpenClaw as a company-wide AI agent platform, a compromised operator.admin device can read all connected data sources, exfiltrate credentials stored in the agent’s skill environment, execute arbitrary tool calls, and pivot to other connected services. The word ‘privilege escalation’ undersells this: the outcome is full instance takeover.”