Дослідники Hudson Rock виявили перший у світі випадок атаки інфостілера на користувачів OpenClaw — популярного open source AI-асистента. Зловмисники викрали конфігураційні файли програми, отримавши доступ до API-ключів та токенів автентифікації, які надають контроль над підключеними додатками.
Експерти попереджають: це лише початок нової хвилі кіберзагроз, спрямованих на AI-агентів у професійних робочих процесах.
Що таке OpenClaw
OpenClaw (раніше відомий як ClawdBot і MoltBot) — локальний фреймворк AI-агента, який зберігає постійне конфігураційне середовище та пам’ять на комп’ютері користувача. Інструмент здатен отримувати доступ до локальних файлів, входити до поштових і комунікаційних застосунків на хості, а також взаємодіяти з онлайн-сервісами.
З моменту виходу OpenClaw здобув широке поширення у світі — користувачі залучають його для керування повсякденними завданнями та роботи як AI-асистента. Однак для роботи OpenClaw потребує чутливих даних: API-ключів та токенів автентифікації, які зберігаються в конфігураційних файлах програми. Саме ці файли і стали ціллю кіберзлочинців.
Перший задокументований випадок крадіжки
Компанія Hudson Rock повідомила про перший зафіксований у реальних умовах випадок, коли інфостилер успішно викрав файли середовища конфігурації OpenClaw.
«Це відкриття є важливою віхою в еволюції поведінки інфостилерів: перехід від крадіжки облікових даних браузера до “збирання душ” і цифрових ідентичностей персональних AI-агентів», — йдеться у звіті компанії.
Ще наприкінці минулого місяця Hudson Rock передбачала цей розвиток подій, називаючи OpenClaw «новою основною ціллю для інфостилерів» — через особливо чутливі дані, з якими працюють агенти, та відносно низький рівень їхнього захисту.
Алон Гал, співзасновник і технічний директор Hudson Rock, повідомив, що йдеться про варіант стилера Vidar, а крадіжка даних відбулась 13 лютого 2026 року. За його словами, зловмисне ПЗ не цілилося в OpenClaw спеціально, натомість виконувало широку процедуру сканування файлів і директорій за ключовими словами на кшталт «token» і «private key». Оскільки файли в директорії конфігурації «.openclaw» містили ці та інші ключові слова, вони й були викрадені.
Які саме файли було викрадено
Шкідливе ПЗ отримало доступ до таких файлів OpenClaw:
openclaw.json — містив зашифровану електронну адресу жертви, шлях до робочого простору та токен автентифікації шлюзу з високою ентропією. Це потенційно уможливлює віддалене підключення до локального екземпляра OpenClaw або підробку клієнта в автентифікованих запитах.
device.json — містив publicKeyPem і privateKeyPem, що використовуються для спарення та підпису. Маючи приватний ключ, зловмисник може підписувати повідомлення від імені пристрою жертви, обходити перевірки «Safe Device» і отримувати доступ до зашифрованих журналів або хмарних сервісів.
soul.md та файли пам’яті (AGENTS.md, MEMORY.md) — визначають поведінку агента та зберігають постійні контекстні дані: щоденні журнали активності, приватні повідомлення й події календаря.
За висновком AI-аналітичного інструменту Hudson Rock, викрадених даних достатньо для потенційно повного компрометування цифрової ідентичності жертви. Дослідники прогнозують, що в міру глибшої інтеграції OpenClaw у професійні робочі процеси інфостилери все активніше фокусуватимуться на ньому, впроваджуючи цілеспрямованіші механізми атаки на AI-агенти.
Суміжна вразливість у nanobot
Паралельно компанія Tenable виявила критичну вразливість у nanobot — надлегкому персональному AI-асистенті, натхненному OpenClaw. Вона потенційно дозволяє зловмисникам повністю захопити WhatsApp-сесії через відкриті екземпляри. Nanobot, який вийшов лише два тижні тому, вже набрав понад 20 тис. зірок і понад 3 тис. форків на GitHub. Команда розробників випустила виправлення для цієї вразливості (CVE-2026-2577) у версії 0.13.post7.
Що буде далі: прогнози експертів
Hudson Rock очікує, що ситуація зміниться «стрімко». Коли більше кіберзлочинців усвідомлять цінність конфігураційних даних OpenClaw, розробники інфостілерів випустять спеціалізовані модулі для дешифрування та парсингу цих файлів — так само, як вони це зробили для Chrome або Telegram.
«Оскільки AI-агенти на кшталт OpenClaw стають більш інтегрованими в професійні робочі процеси, розробники інфостілерів, ймовірно, створять спеціальні модулі для роботи з цими даними», — попереджають дослідники.
Цей інцидент демонструє нові ризики, пов’язані з масовим впровадженням AI-асистентів у повсякденну роботу. Компаніям та користувачам варто посилити захист конфігураційних файлів та регулярно оновлювати антивірусне програмне забезпечення. Наприклад, Meta та інші великі технологічні компанії вже забороняють OpenClaw через загрози безпеці.
