OpenClaw оновив розблокування підтримки GPT-5 із голосовими командами на Android, чотири вразливості в claw-chain уже виправлено

Розробницький фреймворк для відкритих персональних AI-агентів OpenClaw 18 травня оприлюднив версію v2026.5.18. Основні оновлення включають перемикання Android-клієнта на реальні часові мовні сесії на основі шлюзового ретранслятора, а також повне розблокування підтримки конфігурацій для кількох моделей. Паралельно компанія з безпеки даних Cyera повідомила, що дослідники виявили в OpenClaw чотири ланцюжкові вразливості, які можна поєднати в атакувальний ланцюг (разом «爪鏈»).

Основні оновлення у версії v2026.5.18, що підтверджені

Реальний час для Android: потокове введення з мікрофона + реальне часове відтворення аудіо + місткування результатів інструментів (tool-result bridging) + реальні часові субтитри на екрані; користувачі на мобільних пристроях можуть через голосовий виклик будити агента та запускати локальну інструментальну збірку

Повністю розблокований GPT-5: зняття блокування конфігурацій для GPT-5.1, GPT-5.2, GPT-5.3 та openai-codex; видалення примусового скорочення/обрізання фінальних відповідей для GPT-5; увімкнення суворого логування автоматичного виконання агентів

defineToolPlugin: інтерфейс мінімального плагіна: разом із openclaw plugins build, validate та init як командні інструменти CLI; підтримка чітко типізованих оголошень і автоматичне генерування manifest та контекстної фабрики

Memory-core: синхронізація інкрементального запуску: під час старту виконується інкрементальне індексування лише для відсутніх, змінених або змінених за розміром файлів, що суттєво скорочує час холодного запуску

爪鏈 вразливості: підтверджені деталі чотирьох CVE

Зона впливу: усі версії OpenClaw до 23 квітня 2026 року (v2026.4.22) уже виправлені у v2026.4.22 та подальших релізах.

CVE-2026-44112 (CVSS 9.6, найкритичніша): змагальність за часом у пісочниці OpenShell (TOCTOU), що дозволяє змінювати системні файли конфігурації, вживляти бекдор і реалізовувати тривалий контроль на рівні системи

CVE-2026-44115 (CVSS 8.8): логічний дефект, що дозволяє доступ до API-ключів, токенів, сертифікатів і чутливих даних

CVE-2026-44118 (CVSS 7.8): вразливість підвищення привілеїв через неналежну валідацію сесії

CVE-2026-44113 (CVSS 7.8): ще одна вразливість TOCTOU, що дозволяє несанкціоновано отримувати доступ до файлів конфігурації та сертифікатів

Атакувальний ланцюг (підтверджено Cyera): атакувальник може отримати первинну точку опори через шкідливий плагін або підміну підказок → використати вразливості для читання/виконання команд і зібрати облікові дані → отримати адміністраторський контроль через вразливості підвищення привілеїв → вживити бекдор для формування тривалого доступу. Cyera зазначає: «Кожен крок виглядає як нормальна поведінка агента з погляду традиційних заходів контролю, що суттєво ускладнює виявлення».

Поширені запитання

爪鏈 вразливості виправлені, які дії мають виконати поточні користувачі?

Згідно з повідомленням Cyera, усі чотири вразливості впливають на версії до v2026.4.22; підтримка завершила виправлення. Користувачам слід підтвердити, що вони оновилися до v2026.4.22 або вищої версії (включно з останньою v2026.5.18), щоб усунути ризики зазначених вразливостей.

Чому OpenClaw більш імовірно стає ціллю високоризикових атак, ніж звичайне програмне забезпечення?

OpenClaw потребує доступу високої довіри до системи, зокрема до файлової системи, термінального середовища, інструментів розробника, платформ повідомлень, календаря, API та інших підключених систем. Justin Fier підтвердив, що оскільки агенту надані права доступу самі по собі є «довіреними», будь-який пов’язаний трафік виглядає як нормальна поведінка; натомість кожен крок в атакувальному ланцюгу складно ідентифікувати звичайними засобами безпеки та моніторингу.

Які ще раніше зафіксовані безпекові вразливості були в OpenClaw?

OpenClaw (спочатку Clawdbot, пізніше перейменований на MoltBot; реліз у листопаді 2025 року) з моменту запуску має кілька задокументованих вразливостей, зокрема: CVE-2026-25253 (крадіжка токенів), CVE-2026-24763/25157/25475 (ін’єкція команд і символів підказок), а також вразливість, описана у звіті Oasis Security минулого місяця: вона дозволяла атакувальнику викрадати AI-агента через шкідливий вебсайт.