⚠️ ClawJacked ломает OpenClaw через вкладку
OpenClaw можно было взломать через обычный сайт — достаточно открыть вредоносную вкладку, и ИИ-ассистент отдавал контроль над машиной. Если используете self-hosted версию, срочно обновитесь до 2026.2.26.
Проблема в WebSocket-шлюзе на localhost: браузер не блокировал соединение, а loopback был исключён из антибрутфорс-лимитов. Атакующий перебирал пароли со скоростью сотни попыток в секунду, регистрировал себя как доверенное устройство и получал админ-доступ без подтверждения.
Итог — полная компрометация: чтение логов, кража токенов, выполнение shell-команд через ИИ-агента. У проекта >240k ⭐ на GitHub — масштаб риска огромный.
