Claw Chain : 4 luki w OpenClaw pozwalają na przejęcie kontroli

TL;DR: Zidentyfikowano cztery luki w platformie do zarządzania środowiskami cyfrowymi OpenClaw. Połączone w łańcuch ataku nazwany „Claw Chain” ¹, pozwalają na ominięcie piaskownicy, kradzież danych, eskalację uprawnień i trwałe przejęcie kontroli nad systemem ². Dostawca udostępnił już poprawioną wersję oprogramowania ³.

W skrócie: jeśli używasz OpenClaw, Twoja instancja może być podatna na zdalne przejęcie. Atak jest trudny do wykrycia, ponieważ jego kroki maskują się jako normalne operacje agenta ⁴. Priorytetem jest natychmiastowa aktualizacja do wersji 2026.4.22 ³.

Wektor ataku

Badacze z firmy Cyera ujawnili zestaw czterech podatności w oprogramowaniu OpenClaw ⁵, które mogą być wykorzystane sekwencyjnie do przeprowadzenia złożonego ataku ². Łańcuch, nazwany „Claw Chain” ¹, pozwala operatorowi na eskalację od początkowego, ograniczonego wykonania kodu do pełnej i trwałej kontroli nad hostem ⁶.

Analiza wskazuje na czterostopniowy proces ⁷:

Krok 1: Początkowe wykonanie kodu w piaskownicy

Atak rozpoczyna się od uzyskania możliwości wykonania kodu wewnątrz piaskownicy OpenShell, która jest częścią platformy OpenClaw. Wektor początkowy może być różny — złośliwa wtyczka, atak typu prompt injection lub przetworzenie skompromitowanych danych z zewnętrznego źródła ⁸. Na tym etapie operator ma ograniczone możliwości, działając w izolowanym środowisku.

Krok 2: Wykradanie danych i rekonesans

Po uzyskaniu przyczółka w piaskownicy, atakujący wykorzystuje dwie luki do przełamania izolacji i odczytania wrażliwych danych z systemu hosta.

• CVE-2026-44115: Luka w walidacji danych wejściowych, która pozwala na ominięcie listy dozwolonych poleceń. Operator może osadzić tokeny rozszerzenia powłoki w dokumencie typu heredoc, aby wykonać niezatwierdzone komendy w czasie działania systemu ⁹.
• CVE-2026-44113: Luka typu race condition (Time-of-Check to Time-of-Use, czyli błąd wynikający z odstępu czasu między sprawdzeniem warunku a jego użyciem) w OpenShell. Pozwala ona na ominięcie ograniczeń piaskownicy i odczyt plików spoza zamierzonego katalogu ¹⁰.

Połączenie tych dwóch podatności może umożliwić odczyt plików systemowych, poświadczeń, kluczy API i innych wewnętrznych artefaktów systemu ^{11 12}.

Krok 3: Eskalacja uprawnień do poziomu właściciela

Zdobytą wiedzę operator wykorzystuje do eskalacji uprawnień. Służy do tego luka CVE-2026-44118, czyli niewłaściwa kontrola dostępu ¹³. Problem leży w tym, że OpenClaw ufało kontrolowanej przez klienta fladze senderIsOwner bez weryfikacji jej z uwierzytelnioną sesją ¹⁴. W rezultacie klient bez uprawnień mógł podszyć się pod właściciela, zyskując kontrolę nad konfiguracją bramy, harmonogramem zadań (cron) i zarządzaniem całym środowiskiem wykonawczym ^{13 15}.

Krok 4: Ustanowienie trwałości (persistence)

Ostatnim krokiem jest zapewnienie sobie stałego dostępu do skompromitowanego systemu. Operator wykorzystuje do tego najpoważniejszą z luk, CVE-2026-44112. Jest to kolejna podatność typu TOCTOU (race condition) w backendzie piaskownicy OpenShell ¹⁶. Pozwala ona na ominięcie zabezpieczeń i przekierowanie operacji zapisu plików poza dozwolony katalog ¹⁶.

Wykorzystując tę lukę, atakujący może modyfikować konfigurację, instalować backdoory lub inne złośliwe oprogramowanie, zapewniając sobie trwałą kontrolę nad maszyną ^{6 17}. Co istotne, według analizy Cyera, poszczególne kroki ataku mogą wyglądać jak normalne, autoryzowane działania agenta OpenClaw, co znacząco utrudnia ich wykrycie przez standardowe systemy monitoringu ⁴.

Wskaźniki kompromitacji

Na chwilę obecną nie opublikowano publicznie wskaźników kompromitacji (IoC — Indicators of Compromise, takich jak hashe plików czy adresy IP). Zespoły bezpieczeństwa powinny skupić się na analizie behawioralnej i logów systemowych.

Zalecamy poszukiwanie następujących anomalii w logach OpenClaw i systemów operacyjnych hostów:

• Nietypowe operacje odczytu plików spoza standardowych ścieżek przez procesy OpenShell (potencjalne wykorzystanie CVE-2026-44113).
• Wykonywanie poleceń powłoki zawierających nietypowe tokeny rozszerzeń, zwłaszcza w kontekście dokumentów heredoc (potencjalne wykorzystanie CVE-2026-44115).
• Logi wskazujące na zmiany w konfiguracji, harmonogramie cron lub zarządzaniu środowiskiem przez sesje, które nie powinny mieć uprawnień właściciela (potencjalne wykorzystanie CVE-2026-44118).
• Nieoczekiwane operacje zapisu plików w krytycznych katalogach systemowych (np. /etc, /usr/bin, C:\Windows\System32) inicjowane przez procesy OpenClaw (potencjalne wykorzystanie CVE-2026-44112).

Co zrobić w 24-48h

Rekomendowane podejście nie zastępuje pełnej analizy incydentu, ale stanowi pierwszy krok w celu ograniczenia ryzyka.

1. Natychmiastowa aktualizacja: Priorytetem jest aktualizacja wszystkich instancji OpenClaw do wersji 2026.4.22 lub nowszej ³. Jest to jedyny skuteczny sposób na załatanie wszystkich czterech opisanych luk ¹⁸. Dostawca poinformował, że w nowej wersji m.in. wprowadzono oddzielne tokeny dla właściciela i użytkownika, a flaga senderIsOwner jest teraz weryfikowana po stronie serwera ¹⁹.

2. Threat Hunting: Należy założyć, że jeśli system był publicznie dostępny, mogło dojść do kompromitacji. Zespoły SOC (Security Operations Center) powinny aktywnie przeszukać logi systemowe i aplikacyjne pod kątem opisanych wyżej wskaźników behawioralnych za okres co najmniej ostatnich 30 dni.

3. Weryfikacja konfiguracji i integralności: Po aktualizacji należy przeprowadzić audyt konfiguracji instancji OpenClaw. Sprawdź harmonogramy zadań (cron), reguły bramy oraz integralność kluczowych plików systemowych na hoście w poszukiwaniu nieautoryzowanych modyfikacji lub backdoorów.

4. Kontekst polski i NIS2: Dla polskich firm, zwłaszcza podmiotów kluczowych i ważnych w rozumieniu dyrektywy NIS2, incydent ten jest przypomnieniem o konieczności utrzymywania reżimu aktualizacji. Posiadanie niezałatanej platformy z lukami o wysokiej krytyczności może stanowić naruszenie podstawowych zasad higieny cyfrowej wymaganych przez nowe regulacje.

Atrybucja

Zestaw podatności „Claw Chain” został zidentyfikowany i zgłoszony w ramach procedury responsible disclosure przez badacza bezpieczeństwa Vladimira Tokareva ²⁰. Nazwę oraz szczegółową analizę łańcucha ataku opublikowała firma cyberbezpieczeństwa Cyera ¹.

Źródła

Zobacz też

• Krytyczne luki w Comarch ERP Optima — ryzyko przejęcia danych
• Luka w Chrome (CVE-2026-9120) pozwala na zdalne wykonanie kodu
• Luka w Ivanti EPMM (CVE-2026-10727) pozwala na przejęcie serwera

Footnotes

1. Luki te, zbiorczo nazwane „Claw Chain” przez Cyera, mogą pozwolić atakującemu na uzyskanie przyczółka, ujawnienie wrażliwych danych i umieszczenie backdoorów. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩ ↩² ↩³

2. Luki te mogą być łączone w celu osiągnięcia kradzieży danych, eskalacji uprawnień i utrzymania dostępu. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩ ↩²

3. Wszystkie cztery luki zostały zaadresowane w OpenClaw w wersji 2026.4.22. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩ ↩² ↩³

4. Cyera stwierdziła, że ataki te wyglądają jak normalne zachowanie agenta dla tradycyjnych kontroli, co poszerza promień rażenia i znacznie utrudnia wykrycie. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩ ↩²

5. Badacze cyberbezpieczeństwa ujawnili zestaw czterech luk bezpieczeństwa w OpenClaw. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

6. Cyera stwierdziła, że udane wykorzystanie CVE-2026-44112 może pozwolić atakującemu na manipulowanie konfiguracją, umieszczanie backdoorów i ustanowienie trwałej kontroli nad skompromitowanym hostem. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩ ↩²

7. Łańcuch eksploatacji rozwija się w czterech krokach. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

8. Złośliwa wtyczka, wstrzyknięcie promptu lub skompromitowane zewnętrzne dane wejściowe uzyskują wykonanie kodu w piaskownicy OpenShell. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

9. CVE-2026-44115 to luka związana z niekompletną listą niedozwolonych danych wejściowych, która pozwala atakującym ominąć walidację listy dozwolonych poprzez osadzanie tokenów rozszerzenia powłoki w treści heredoc, aby wykonać niezatwierdzone polecenia w czasie działania. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

10. CVE-2026-44113 to luka typu race condition (TOCTOU) w OpenShell, która pozwala atakującym ominąć ograniczenia piaskownicy i odczytywać pliki spoza zamierzonego katalogu głównego. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

11. CVE-2026-44113 może być wykorzystane do odczytywania plików systemowych, poświadczeń i wewnętrznych artefaktów. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

12. Wykorzystanie CVE-2026-44113 i CVE-2026-44115 do ujawnienia poświadczeń, sekretów i wrażliwych plików. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

13. CVE-2026-44118 to luka związana z niewłaściwą kontrolą dostępu, która może pozwolić klientom loopback niebędącym właścicielami na podszywanie się pod właściciela w celu podniesienia swoich uprawnień i uzyskania kontroli nad konfiguracją bramy, harmonogramowaniem cron i zarządzaniem środowiskiem wykonawczym. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩ ↩²

14. Główna przyczyna CVE-2026-44118 wynika z faktu, że OpenClaw ufa fladze własności kontrolowanej przez klienta, zwanej senderIsOwner, bez walidacji jej w stosunku do uwierzytelnionej sesji. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

15. Wykorzystanie CVE-2026-44118 do uzyskania kontroli na poziomie właściciela nad środowiskiem wykonawczym agenta. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

16. CVE-2026-44112 to luka typu race condition (TOCTOU) w backendzie zarządzanej piaskownicy OpenShell, która pozwala atakującym ominąć ograniczenia piaskownicy i przekierować zapisy poza zamierzony katalog główny. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩ ↩²

17. Użycie CVE-2026-44112 do umieszczenia backdoorów lub wprowadzenia zmian w konfiguracji i ustanowienia trwałości. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

18. Użytkownikom zaleca się aktualizację do najnowszej wersji, aby pozostać chronionym przed potencjalnymi zagrożeniami. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

19. OpenClaw szczegółowo opisał poprawki w swoim komunikacie, stwierdzając, że środowisko wykonawcze MCP loopback wydaje teraz oddzielne tokeny właściciela i nie-właściciela, a senderIsOwner jest wyprowadzany wyłącznie z tokena, który uwierzytelnił żądanie. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩

20. Badacz bezpieczeństwa Vladimir Tokarev został uznany za odkrycie i zgłoszenie tych problemów. — https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html ↩