Десять из десяти. В ИИ-ассистенте Nanobot нашли уязвимость, позволяющую угнать ваш WhatsApp

Исследователи из компании Tenable обнаружили критическую уязвимость CVE-2026-2577 в популярном ИИ-ассистенте Nanobot, который позволяет подключать WhatsApp к языковым моделям. Уязвимость получила максимально возможную оценку опасности — 10 из 10 по шкале CVSS.

Проблема крылась в том, как Nanobot организует связь между своими компонентами. Его WebSocket-сервер принимал подключения от кого угодно — без какой-либо проверки личности. Фактически, любой человек, имеющий доступ к сети, где работает программа, мог подключиться к порту 3001 и получить полный контроль над привязанным аккаунтом WhatsApp. Это означало возможность читать все входящие сообщения в режиме реального времени, отправлять сообщения от имени жертвы, а также перехватывать QR-коды в момент авторизации — то есть угонять сессию ещё до её создания.

Уязвимость обнаружил исследователь Джошуа Мартинель и ответственно передал информацию разработчикам. Tenable впервые связалась с командой Nanobot шесть февраля 2026 года, и уже 13 февраля вышло исправление — на всё про всё ушла примерно неделя. Патч вошёл в версию v0.1.3.post7, и всем пользователям настоятельно рекомендуется обновиться как можно скорее.