OpenClaw обновила разлок GPT-5 и добавила поддержку Android-голосовых команд; все четыре уязвимости в claw-chain были устранены

Открытая персональная AI-агентная платформа OpenClaw 18 мая выпустила версию v2026.5.18. Основные обновления включают переключение Android-клиента на потоковые голосовые сессии в реальном времени на основе шлюзовых ретрансляций, а также полное разблокирование поддержки конфигураций для нескольких моделей. Одновременно компания по безопасности данных Cyera раскрыла, что исследователи обнаружили в OpenClaw четыре уязвимости, которые можно использовать в цепочке (в совокупности «claw chain»).

Основные подтверждённые обновления версии v2026.5.18

Android реальный времени: потоковый ввод с микрофона + воспроизведение аудио в реальном времени + мостик результатов инструментов (tool-result bridging) + экранные субтитры в реальном времени; пользователи на мобильных устройствах могут пробуждать ассистента голосом и запускать локальную цепочку инструментов

Полная разблокировка GPT-5: снятие блокировок конфигурации GPT-5.1, GPT-5.2, GPT-5.3 и openai-codex; удаление принудительного укороченного усечения для финальных ответов GPT-5; включение строгого автоматического ведения журнала при выполнении агентом

defineToolPlugin — минималистичный интерфейс плагина: в комплекте с openclaw plugins build, validate и init командными утилитами; поддержка строго типизированных объявлений и автоматическая генерация manifest и контекстной фабрики

Memory-core — инкрементальная синхронизация при старте: при запуске выполняется индексирование только отсутствующих, изменившихся или изменивших размер файлов, что существенно сокращает время холодного старта

Claw chain: подтверждённые детали четырёх CVE

Зона влияния: все версии OpenClaw до 23 апреля 2026 года (v2026.4.22) были исправлены в v2026.4.22 и последующих версиях.

CVE-2026-44112 (CVSS 9,6, самый критичный): гонка по времени в песочнице OpenShell (TOCTOU), позволяющая изменять системные конфигурационные файлы, внедрять бэкдор и добиваться персистентного контроля на уровне системы

CVE-2026-44115 (CVSS 8,8): логический дефект, позволяющий получать доступ к API-ключам, токенам, сертификатам и чувствительным данным

CVE-2026-44118 (CVSS 7,8): уязвимость повышения привилегий из‑за некорректной валидации сессии

CVE-2026-44113 (CVSS 7,8): ещё одна уязвимость TOCTOU, позволяющая незаконно получать доступ к конфигурационным файлам и сертификатам

Атакующая цепочка (подтверждение Cyera): атакующий может получить начальную точку опоры через вредоносный плагин или подмену подсказок → использовать уязвимости чтения/выполнения команд для сбора учётных данных → получить управление с правами администратора через уязвимость повышения привилегий → внедрить бэкдор для установления постоянного доступа. Cyera отмечает: «Каждый шаг при традиционных мерах контроля выглядит как нормальное поведение агента, что существенно усложняет обнаружение.»

Часто задаваемые вопросы

Claw chain-уязвимости исправлены — какие действия нужны текущим пользователям?

Согласно отчёту Cyera, четыре уязвимости затрагивают версии до v2026.4.22; разработчики завершили исправления. Пользователям следует убедиться, что они обновились до v2026.4.22 или более поздней версии (включая последнюю v2026.5.18), чтобы устранить риск указанных уязвимостей.

Почему OpenClaw легче становится целью высокорисковых атак, чем обычное ПО?

OpenClaw требует высокодоверенного доступа к системе, включая файловую систему, терминальную среду, инструменты разработки, платформы сообщений, календарь, API и другие подключённые системы. Justin Fier подтверждает: поскольку агенту выдаются права доступа, которые сами по себе считаются доверенными, любой соответствующий трафик может выглядеть как нормальное поведение, и каждый шаг в цепочке атак трудно распознать традиционными средствами мониторинга безопасности.

Какие ещё ранее зафиксированные уязвимости безопасности были у OpenClaw?

У OpenClaw (ранее Clawdbot, затем переименован в MoltBot; выпуск в ноябре 2025) с момента запуска уже было несколько задокументированных уязвимостей, включая: CVE-2026-25253 (кража токенов), CVE-2026-24763/25157/25475 (инъекции команд и символов в подсказках), а также уязвимость из прошлогоднего отчёта Oasis Security за прошлый месяц, которая позволяет атакующему перехватывать AI-агент через вредоносный сайт.