Claw Chain w OpenClaw: łańcuch podatności umożliwia ucieczkę z sandboxa i trwałe przejęcie hosta - Security Bez Tabu

Claw Chain w OpenClaw: łańcuch podatności umożliwia ucieczkę z sandboxa i trwałe przejęcie hosta

Cybersecurity news

Wprowadzenie do problemu / definicja

OpenClaw, otwartoźródłowy framework agentów AI, znalazł się w centrum uwagi po ujawnieniu zestawu czterech podatności określanych zbiorczo jako „Claw Chain”. Nie chodzi tu o pojedynczy błąd, lecz o możliwość połączenia kilku słabości w jeden skuteczny scenariusz ataku. W praktyce taki łańcuch może umożliwić odczyt danych spoza izolowanego środowiska, eskalację uprawnień, a finalnie zapis plików poza granicą sandboxa i osadzenie trwałego backdoora na systemie gospodarza.

W skrócie

Claw Chain obejmuje cztery podatności wpływające na mechanizmy izolacji i kontroli uprawnień w OpenClaw. Według ujawnionych informacji atakujący, który uzyska wykonanie kodu wewnątrz sandboxa OpenShell, może wykorzystać błędy do odczytu plików poza mount root, uruchamiania niedozwolonych komend, podniesienia uprawnień do poziomu właściciela oraz zapisu danych poza sandboxem.

  • CVE-2026-44113 umożliwia odczyt plików poza dozwolonym obszarem.
  • CVE-2026-44115 pozwala obejść ograniczenia allowlisty poleceń.
  • CVE-2026-44118 prowadzi do eskalacji uprawnień w komunikacji loopback.
  • CVE-2026-44112 umożliwia zapis poza sandboxem i trwałe osadzenie backdoora.

Kontekst / historia

Nowoczesne platformy agentowe AI coraz częściej otrzymują szerokie uprawnienia do wykonywania poleceń, pracy na plikach, integracji z usługami zewnętrznymi i automatyzacji zadań operacyjnych. Taki model zwiększa produktywność, ale jednocześnie rozszerza powierzchnię ataku. Agent nie jest już wyłącznie interfejsem do modelu językowego, lecz procesem zdolnym do działania na zasobach lokalnych i sieciowych.

W przypadku OpenClaw kluczową rolę odgrywa mechanizm sandboxingu OpenShell, który ma izolować działania agenta od systemu hosta. Jednocześnie dokumentacja projektu wskazuje, że nie wszystkie komponenty są objęte pełną izolacją. Proces Gateway nie jest sandboxowany, a część narzędzi może działać poza sandboxem, jeśli została dopuszczona do trybu uprzywilejowanego. To powoduje, że każda luka pozwalająca obejść ograniczenia OpenShell nabiera dużego znaczenia operacyjnego.

Badacze zgłosili opisane podatności opiekunom projektu 22 kwietnia 2026 roku, poprawki wdrożono dzień później, a publiczne informacje o problemie opublikowano 18 maja 2026 roku. Oznacza to, że organizacje korzystające z własnych wdrożeń OpenClaw powinny niezwłocznie sprawdzić, czy pracują już na wersjach zawierających remediację.

Analiza techniczna

Scenariusz Claw Chain zakłada, że atakujący uzyskuje możliwość wykonania kodu w obrębie sandboxa. Punktem wejścia może być prompt injection, złośliwa wtyczka albo skompromitowane wejście zewnętrzne obsługiwane przez agenta. Samo wykonanie kodu w sandboxie nie musi jeszcze oznaczać pełnego przejęcia hosta, ale staje się punktem startowym do wykorzystania kolejnych błędów.

Pierwsza grupa problemów dotyczy granicy systemu plików. CVE-2026-44113 opisano jako wyścig typu time-of-check/time-of-use, który pozwala odczytywać pliki spoza dozwolonego katalogu głównego. Tego rodzaju podatność pojawia się, gdy aplikacja najpierw sprawdza, czy ścieżka znajduje się w bezpiecznym obszarze, a dopiero później wykonuje właściwą operację na pliku. Jeśli w krótkim oknie czasowym napastnik zmieni element ścieżki, na przykład przez podmianę na dowiązanie symboliczne, walidacja i rzeczywista operacja mogą dotyczyć różnych lokalizacji.

Podobny mechanizm występuje w CVE-2026-44112, jednak tym razem skutkiem jest zapis poza granicą sandboxa. To właśnie ten błąd uznano za najbardziej krytyczny. Problem wynika z tego, że ścieżka jest weryfikowana przed operacją zapisu, ale sam zapis nie jest powiązany ze stabilnym deskryptorem zakotwiczonym w zaufanym katalogu głównym. W efekcie atakujący może przekierować zapis na pliki systemu hosta, otwierając drogę do modyfikacji konfiguracji, nadpisania plików uruchamianych przy starcie lub osadzenia mechanizmu trwałego dostępu.

CVE-2026-44115 dotyczy mechanizmu allowlisty komend. Opis wskazuje na błąd analizy i walidacji poleceń, który pozwala osadzić tokeny ekspansji shella w treści heredoc i doprowadzić do wykonania komend, które powinny zostać zablokowane przez politykę runtime. Z perspektywy obrony jest to szczególnie niebezpieczne, ponieważ system może pozornie respektować listę dozwolonych poleceń, a mimo to wykonywać logikę sterowaną przez napastnika.

CVE-2026-44118 obejmuje warstwę kontroli uprawnień. Problem wynikał z zaufania do flagi określającej, czy klient jest właścicielem sesji, mimo że wartość ta mogła być kontrolowana po stronie klienta. W praktyce nieuprzywilejowany klient loopback mógł uzyskać uprawnienia właściciela i przejąć funkcje zarządcze, takie jak konfiguracja środowiska wykonawczego czy orkiestracja zadań.

Najgroźniejszy element całego incydentu polega na kompozycji błędów. Atakujący nie potrzebuje jednej klasycznej podatności prowadzącej bezpośrednio do zdalnego wykonania kodu na hoście. Wystarczy połączenie odczytu danych, obejścia polityk wykonania, eskalacji uprawnień i zapisu poza sandboxem. To dobrze pokazuje, jak w nowoczesnych systemach agentowych pozornie umiarkowane błędy mogą razem prowadzić do pełnego kompromisu.

Konsekwencje / ryzyko

Z operacyjnego punktu widzenia skutki incydentu obejmują trzy obszary: poufność, integralność i trwałość dostępu. W zakresie poufności ryzyko dotyczy wycieku zmiennych środowiskowych, kluczy API, tokenów sesyjnych, materiału uwierzytelniającego, plików konfiguracyjnych, historii rozmów oraz danych przetwarzanych przez agenta.

W obszarze integralności napastnik może modyfikować konfiguracje, pliki robocze i artefakty wykonywane przez procesy zależne. Jeśli zapis poza sandboxem obejmie pliki startowe, skrypty automatyzacji lub integracje CI/CD, incydent może rozlać się na kolejne systemy i środowiska.

Najbardziej krytyczny pozostaje aspekt trwałości. Możliwość osadzenia backdoora na hoście oznacza, że nawet po usunięciu złośliwego promptu czy wtyczki organizacja może nadal pozostawać pod kontrolą atakującego. Dodatkowym utrudnieniem jest detekcja, ponieważ działania wykonywane przez agenta mogą przypominać legalną aktywność automatyzacyjną.

Rekomendacje

Podstawowym działaniem obronnym powinna być natychmiastowa aktualizacja OpenClaw do wersji zawierającej poprawki, wskazywanej publicznie jako 2026.4.22 lub nowszej. Każda instancja starsza od tej wersji powinna być traktowana jako potencjalnie podatna i objęta dodatkowymi czynnościami weryfikacyjnymi.

  • Przeprowadzić inwentaryzację wszystkich wdrożeń OpenClaw, w tym środowisk testowych i deweloperskich.
  • Ograniczyć liczbę wtyczek i źródeł wejścia, które mogą doprowadzić do wykonania kodu przez agenta.
  • Zweryfikować, które narzędzia działają poza sandboxem lub z podwyższonymi uprawnieniami.
  • Rozdzielić poświadczenia właściciela od zwykłych tokenów operacyjnych i ograniczyć zakres przywilejów do minimum.
  • Rotować klucze API, tokeny i inne sekrety, jeśli istnieje ryzyko, że agent miał do nich dostęp przed aktualizacją.
  • Przejrzeć katalogi sandboxa pod kątem nietypowych dowiązań symbolicznych, śladów operacji rename, symlink i unlink oraz nieautoryzowanych modyfikacji plików hosta.
  • Włączyć telemetrykę plikową i alertowanie dla operacji wychodzących poza oczekiwane mount root.
  • Rozważyć dodatkowe warstwy ochrony, takie jak AppArmor, SELinux, osobny nieuprzywilejowany użytkownik systemowy oraz ograniczenie zapisu wyłącznie do dedykowanych katalogów roboczych.
  • Jeżeli szybkie wdrożenie poprawek nie jest możliwe, tymczasowo wyłączyć komponenty OpenShell lub funkcje pozwalające na operacje filesystem bridge.

Z perspektywy architektonicznej warto traktować sandbox jako jedną z warstw ochrony, a nie pełną gwarancję bezpieczeństwa. W systemach agentowych konieczne jest równoległe egzekwowanie separacji tożsamości, ograniczeń uprawnień, monitoringu zachowań oraz kontroli pochodzenia danych wejściowych.

Podsumowanie

Claw Chain pokazuje, że bezpieczeństwo agentów AI nie zależy wyłącznie od odporności modelu na prompt injection, ale również od jakości implementacji izolacji, walidacji poleceń, kontroli uprawnień i operacji na systemie plików. W OpenClaw cztery odrębne błędy utworzyły spójny łańcuch prowadzący od wykonania kodu w sandboxie do trwałego przejęcia hosta. Dla zespołów bezpieczeństwa to wyraźny sygnał, że platformy agentowe należy oceniać jak uprzywilejowane systemy automatyzacji, a nie tylko narzędzia wspierające pracę z AI.

Źródła

  1. SecurityWeek — „Claw Chain” OpenClaw Flaws Allow Sandbox Escape, Backdoor Delivery — https://www.securityweek.com/claw-chain-openclaw-flaws-allow-sandbox-escape-backdoor-delivery/
  2. OpenClaw Documentation — Sandboxing — https://docs.openclaw.ai/gateway/sandboxing
  3. OpenClawsome — Four OpenClaw flaws exposed data, privileges, and persistence — https://openclawsome.com/news/security/four-openclaw-flaws-exposed-data-privileges-and-persistence
  4. SentinelOne Vulnerability Database — CVE-2026-44112: OpenClaw Race Condition Vulnerability — https://www.sentinelone.com/vulnerability-database/cve-2026-44112/