Η OpenClaw εξέδωσε επείγουσα διόρθωση για την ευπάθεια ClawJacked, η οποία επέτρεπε σε κακόβουλους ιστότοπους να αποκτούν τον έλεγχο τοπικών πρακτόρων τεχνητής νοημοσύνης. Μέσω μιας σύνδεσης WebSocket, οι επιτιθέμενοι μπορούσαν να παρακάμψουν τους κωδικούς πρόσβασης και να εγγράψουν κρυφά νέες συσκευές, αποκτώντας πρόσβαση σε ευαίσθητα δεδομένα και logs.
OpenClaw: Ο μηχανισμός της επίθεσης
Το πρόβλημα εντοπίστηκε στην εμπιστοσύνη που δείχνει η πύλη του OpenClaw στις τοπικές συνδέσεις (localhost). JavaScript κώδικας από οποιαδήποτε σελίδα επισκέπτεται ο χρήστης μπορούσε να “χτυπήσει” την πύλη, να κάνει brute-force στον κωδικό και να εγκριθεί αυτόματα ως διοικητική συσκευή χωρίς καμία προειδοποίηση.
Κίνδυνοι από κακόβουλα Skills
Παράλληλα, έρευνες αποκάλυψαν δεκάδες μολυσμένα πρόσθετα (skills) στο ClawHub. Ορισμένα από αυτά λειτουργούσαν ως δούρειοι ίπποι για την εγκατάσταση του κακόβουλου λογισμικού Atomic Stealer σε συστήματα macOS, ενώ άλλα στόχευαν στην κλοπή κρυπτονομισμάτων μέσω ψεύτικων εργαλείων.
Μέτρα προστασίας και ενημερώσεις
Η Microsoft και άλλοι φορείς ασφαλείας συνιστούν:
- Άμεση αναβάθμιση στην έκδοση 2026.2.25 ή νεότερη.
- Χρήση του OpenClaw αποκλειστικά σε απομονωμένα περιβάλλοντα (Virtual Machines).
- Αυστηρό έλεγχο των skills πριν από την εγκατάσταση.
