В системе подключения устройств OpenClaw, известной как ИИ-агент с 348 000 звёзд на GitHub, за шесть недель выявили шесть уязвимостей класса CWE-863, связанных с некорректной авторизацией. Последняя из них, CVE-2026-33579, с оценкой CVSS 8.6, была устранена 29 марта в версии 2026.3.28. Все уязвимости связаны с архитектурной ошибкой: модуль device pairing не проверяет права пользователя, одобряющего подключение нового устройства. В случае CVE-2026-33579 команда /pair approve не передавала необходимые права для авторизации. Пользователь с минимальными привилегиями мог зарегистрировать устройство с запросом на более высокие права и одобрить его. Ранее выявленная уязвимость CVE-2026-32922 (CVSS 9.9) позволяла обойти проверку прав через эндпоинт ротации токенов и была закрыта в версии 2026.3.11. По данным SecurityScorecard, в феврале более 135 000 экземпляров OpenClaw были доступны в открытом доступе, из которых 63% работали без аутентификации. Исследователи предостерегают, что все шесть патчей закрывали лишь определённые пути в коде, но не затрагивали модель авторизации. Рекомендуется обновиться до версии 2026.3.28 и включить аутентификацию.