По данным автоматического трекера jgamblin/OpenClawCVEs, обновлённого 16 марта 2026 года, OpenClaw накопил более 100 зарегистрированных CVE с начала года. Это делает OpenClaw одним из самых активно исследуемых с точки зрения безопасности open-source проектов 2026 года — что одновременно является признаком как популярности, так и серьёзного внимания исследователей к архитектурным рискам.
Статистика уязвимостей
Трекер фиксирует следующее распределение по уровням серьёзности:
| Уровень CVSS | Диапазон | Количество |
|---|---|---|
| Critical | 9.0 – 10.0 | 4 |
| High | 7.0 – 8.9 | Более 50% от общего числа |
| Medium | 4.0 – 6.9 | Остальные |
| Low | 0.1 – 3.9 | Единицы |
Критические уязвимости (CVSS 9.0+)
Четыре CVE с наивысшим рейтингом:
- CVE-2026-28466 — CVSS 9.4 (подробности ограничены на момент публикации)
- CVE-2026-28474 — CVSS 9.3
- CVE-2026-28391 — CVSS 9.2
- CVE-2026-28446 — CVSS 9.2
Полные технические детали по этим CVE пока не раскрыты публично — это стандартная практика при координированном раскрытии (responsible disclosure): компании получают время на выпуск патча до публикации деталей эксплойта.
Наиболее известная закрытая уязвимость
Самая детально задокументированная уязвимость — CVE-2026-25253 (CVSS 8.8): Control UI принимал параметр gatewayUrl без валидации, что позволяло перехватить токен аутентификации через один клик по вредоносной ссылке. Патч — версия 2026.1.29. После выхода патча более 12 800 экземпляров оставались уязвимы — это типичная картина для самохостинговых инструментов.
Основные векторы атак в 2026 году
Анализ раскрытых CVE и публичных исследований показывает несколько повторяющихся паттернов.
1. WebSocket без валидации origin
Несколько CVE связаны с недостаточной проверкой источника WebSocket-соединений. Атаки этого типа позволяют веб-странице установить соединение с локальным OpenClaw через браузер жертвы. Патч v2026.3.11 закрыл конкретный вектор (GHSA-5wcw-8jjv-m286), но общая категория остаётся актуальной.
2. Инъекция команд в Docker sandbox
CVE-2026-24763 (CVSS 8.8) — небезопасная обработка переменной PATH в механизме выполнения Docker sandbox. Аутентифицированный пользователь мог влиять на выполнение команд внутри контейнера. Патч — версия 2026.1.29.
Это подчёркивает важность правильной Docker-конфигурации: контейнер не является гарантией безопасности, если внутренняя логика уязвима.
3. Supply chain через ClawHub
824 вредоносных скилла в маркетплейсе — отдельный вектор, не требующий эксплуатации CVE. Достаточно установить скилл с вредоносными инструкциями. Подробнее о проверке скиллов ClawHub.
4. Открытые экземпляры
По данным разных исследований: от 18 000 до 42 000 экземпляров OpenClaw публично доступны в интернете. Значительная часть — с настройками по умолчанию (bind 0.0.0.0:18789 в Docker). Это не CVE, но прямой путь к эксплуатации любой другой уязвимости.
Темп выхода патчей
OpenClaw активно реагирует на уязвимости. Только за март 2026 года вышли:
- v2026.3.7 — обязательная аутентификация шлюза (архитектурный fix)
- v2026.3.11 — патч WebSocket origin
- v2026.3.12 — несколько GHSA-исправлений безопасности
- v2026.3.13 — 40+ исправлений, включая compaction sanity checks и SSRF-патч Telegram
Это примерно один значимый патч каждые 2–3 дня. Для самохостингового инструмента такой темп — аргумент в пользу регулярных обновлений, а не стабильных «замороженных» версий.
Практический чеклист защиты
На основе всех известных векторов атак:
Версия и обновления:
- Убедиться, что используется версия не ниже v2026.3.13
- Настроить автоматическое уведомление о новых релизах через GitHub Releases
Сетевая доступность:
- OpenClaw должен быть доступен только изнутри сети или через VPN
- Никогда не bind 0.0.0.0 без firewall-правил
- Проверить, нет ли вашего IP в базах сканеров (Shodan)
Аутентификация:
- Задан сильный пароль или токен (начиная с v2026.3.7 — обязательно)
- Пароль не совпадает с другими сервисами
Права доступа:
- Агенту выданы минимально необходимые права
- API-ключи с минимальными правами (read-only там, где не нужна запись)
ClawHub:
- Проверяем скиллы перед установкой
- Не устанавливаем скиллы из непроверенных источников
Docker:
- Применены рекомендации по Docker-безопасности
- Контейнер не запускается с
--privileged
Обновлённые данные: 42 000 открытых инстансов (апрель 2026)
Апрельские исследования уточнили масштаб проблемы открытых деплоев. Если в январе 2026 публично доступными были около 18 000 экземпляров OpenClaw, то к апрелю их число выросло до 42 000 — параллельно с ростом популярности проекта.
Кто находится в этих 42 000:
- Deeploy-тесты, не закрытые разработчиками
- Корпоративные инсталляции без firewall
- Домашние серверы с
bind: 0.0.0.0в Docker-compose - Студенческие проекты и туториал-деплои
Более трети из них — с версиями, уязвимыми к CVE-2026-25253 (WebSocket hijacking). Проверьте, нет ли вашего IP в базах поисковиков интернет-устройств (Shodan, Censys).
36% скиллов ClawHub: статистика безопасности
Независимый аудит случайной выборки из 500 скиллов ClawHub показал:
| Категория | Доля |
|---|---|
| Полностью безопасные | 64% |
| Содержат потенциально опасный код | 22% |
| Запрашивают избыточные разрешения | 11% |
| Содержат подтверждённые вредоносные паттерны | 3% |
Практическое следствие: каждый третий скилл ClawHub требует ревью перед установкой. Доверие к «звёздам» и «популярности» скилла недостаточно — проверяйте исходный код. Подробно о методах проверки: Вредоносные скиллы в ClawHub: как проверить.
Enterprise-защита 2026: минимальный стек
Для корпоративных деплоев недостаточно просто обновить версию. Минимальный стек защиты:
- Identity isolation — отдельный набор credentials для каждого агента
- RBAC — ролевой доступ на уровне SOUL.md и сетевых правил
- Least-privilege allowlists — разрешать только конкретные команды и пути
- VPC + Firewall — порт 18789 закрыт для внешнего интернета
- Comprehensive logging — все действия агента в SIEM
Полный enterprise security framework с примерами конфигураций — в отдельном материале: OpenClaw в enterprise: полный фреймворк безопасности.
Перспектива
100+ CVE за 2.5 месяца — это много. Но важен контекст: OpenClaw работает с широким спектром локальных привилегий (файлы, терминал, браузер, мессенджеры) и стал одним из наиболее популярных self-hosted инструментов за всю историю open-source. Такое сочетание неизбежно привлекает исследователей безопасности.
Сравнение: популярные Linux-дистрибутивы накапливают сопоставимое количество CVE за год. Ключевая разница — в скорости реакции и доступности обновлений. Пока OpenClaw выдерживает темп: патчи выходят регулярно, критические уязвимости закрываются в течение нескольких дней после раскрытия.
Главный вывод — обновляйтесь и не оставляйте OpenClaw публично доступным без аутентификации.