Сначала пароли, теперь «мозги». Вредоносное ПО перешло на диету из настроек ИИ

Разработчики средств защиты зафиксировали новый этап в развитии вредоносных программ для кражи данных — теперь под удар попадают не только пароли и куки браузеров, но и конфигурации персональных ИИ-агентов. В одном из недавних инцидентов похититель информации сумел выгрузить рабочее окружение агента OpenClaw вместе с ключевыми служебными файлами и токенами доступа.

О находке сообщили специалисты компании Hudson Rock. По их данным, заражение связано с вариантом известного похитителя Vidar, который используют злоумышленники с 2018 года. Вредонос не применял отдельный модуль под OpenClaw, а действовал через стандартный механизм массового поиска файлов — он сканировал каталоги и расширения, где обычно хранятся чувствительные данные.

В результате утечки оказались три типа файлов с критически важной информацией. Openclaw.json содержит токен шлюза, адрес электронной почты и путь к рабочему пространству. Device.json хранит криптографические ключи для привязки и подписи операций внутри экосистемы агента. Файл soul.md описывает базовые принципы работы, поведенческие правила и ограничения ИИ-помощника. Получение токена шлюза даёт возможность подключиться к локальному экземпляру сервиса извне при открытом порте или выдавать себя за легитимного клиента при обращении к ИИ-шлюзу.

В Hudson Rock отмечают, что массовые похитители пока не умеют целенаправленно разбирать такие данные, однако рост популярности ИИ-агентов меняет приоритеты злоумышленников. Разработчики вредоносного ПО, по оценке компании, начнут добавлять специализированные модули для расшифровки и анализа конфигураций ИИ-инструментов — по аналогии с тем, как сегодня обрабатываются данные браузеров и мессенджеров.

Проблемы безопасности затронули и экосистему OpenClaw. Сопровождающая проект команда объявила о сотрудничестве с VirusTotal для проверки загружаемых навыков в каталоге ClawHub, построения модели угроз и поиска ошибок конфигурации. Почти одновременно другая исследовательская группа описала кампанию с вредоносными навыками, где применяют обход проверки — вредонос размещают на поддельных сайтах, а сами навыки используют как приманку без встроенной нагрузки.

Дополнительный риск выявили аналитики OX Security в сервисе Moltbook — форуме для ИИ-агентов на базе OpenClaw. После создания учётной записи удалить её невозможно, из-за чего связанные данные остаются в системе без механизма очистки.

Отчёт SecurityScorecard показывает ещё одну проблему — в сети доступны сотни тысяч открытых экземпляров OpenClaw. При наличии уязвимостей это создаёт условия для удалённого выполнения кода. Если такой сервис уже имеет доступ к почте, облачным API и внутренним ресурсам, одной точки входа хватает для дальнейшего продвижения атаки.