Программы для кражи данных добрались до AI-ассистентов

Как сообщили исследователи Hudson Rock (компании, специализирующейся на анализе данных, украденных инфостилерами), похищены служебные файлы OpenClaw с зараженного компьютера пользователя. В компании отметили, что ранее подобные вредоносы в первую очередь собирали учетные данные из браузеров.

OpenClaw — это AI-помощник с открытым исходным кодом, который устанавливается на компьютер или сервер и берет на себя повседневные задачи: работу с почтой, файлами, онлайн-сервисами, API. По сути, это «цифровой ассистент», которому пользователь доверяет доступ к своим учетным записям и рабочим данным. Проект появился в ноябре 2025 года и быстро стал популярным: он набрал более 100 тыс. отметок «звезда» на GitHub и привлек миллионы пользователей.

Согласно опубликованным данным, использовался предположительно вариант известного инфостилера Vidar, который не был специально нацелен на OpenClaw. Он сканировал систему в поисках файлов с ключевыми словами — например, «token» или «private key». Поскольку такие данные есть в служебных файлах OpenClaw, они автоматически попали в выгрузку.

Продолжение ниже

Среди украденного оказались:

• файл с токеном доступа к сервису OpenClaw — он может использоваться для подключения к сервисам от имени пользователя;
• файл с криптографическими ключами, применяемыми для подтверждения подлинности устройства;
• файлы с описанием работы ассистента и накопленной «памятью» — журналами активности, заметками и другой служебной информацией.

Эксперты отмечают, что такой набор данных потенциально позволяет злоумышленнику выдавать себя за владельца AI-помощника и использовать его доступ к почте, облачным сервисам или API. Это уже не просто кража логинов и паролей из браузера, а перехват инструмента, который действует от имени пользователя.

«Пострадало порядка 75% серверов и до 90% резервных копий», — CISO RuTube об атаке на видеосервис в 2022 году

Архитектура

Исследователи также предупредили, что по мере роста популярности OpenClaw вредоносные программы могут начать целенаправленно искать и обрабатывать именно его файлы — так же, как сегодня они умеют работать с данными браузеров или мессенджеров.

Помимо случая с инфостилером выявлены и другие риски: согласно имеющимся данным, сотни тысяч установленных OpenClaw оказались доступны из интернета. Это означает, что при наличии уязвимости злоумышленник может попытаться удаленно выполнить команды на устройстве, где работает ассистент. Если ассистент имеет доступ к почте или корпоративным системам, последствия такой атаки могут затронуть и другие сервисы.

Также была выявлена схема распространения вредоносных дополнений через каталог ClawHub — площадку, где публикуются «навыки» для OpenClaw. Злоумышленники размещали там формально безопасные дополнения, которые при установке перенаправляли пользователя на внешние сайты с вредоносным кодом. Таким способом они обходили автоматическую проверку файлов. После этого команда проекта объявила о сотрудничестве с онлайн-сервисом VirusTotal для проверки файлов и ссылок на вредоносное содержимое, чтобы усилить контроль загружаемых дополнений.

Популярность OpenClaw продолжает расти с момента запуска в ноябре 2025 года. Проект быстро вышел за пределы сообщества разработчиков и стал использоваться для автоматизации рабочих задач — от обработки почты до взаимодействия с онлайн-сервисами. Параллельно изменился и статус проекта: глава OpenAI Сэм Альтман сообщил, что основатель OpenClaw Питер Штайнбергер присоединяется к OpenAI, а сам OpenClaw будет развиваться как открытый проект в формате фонда при поддержке компании. Штайнбергер, в свою очередь, отметил, что для него принципиально сохранить открытый статус проекта и расширить возможности персональных AI-агентов.

Инцидент показывает, что персональные AI-помощники начинают восприниматься злоумышленниками как источник доступа к почте, облачным сервисам и корпоративным данным.