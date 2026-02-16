Специалисты из SecurityScorecard обнаружили более 220 000 доступных через интернет инстансов OpenClaw и предупреждают, что ИИ-агенты — это ценная цель для злоумышленников.

OpenClaw — опенсорсный ИИ-ассистент, который работает локально на машине пользователя через WhatsApp, Telegram, Slack, Discord и другие мессенджеры, может выполнять задачи автономно по таймеру и общаться с другими агентами. С момента запуска в ноябре 2025 года проект набрал почти 200 000 звезд на GitHub. Создатель проекта Питер Штайнбергер (Peter Steinberger) создал OpenClaw с помощью вайбкодинга, без особого тестирования. Параллельно с этим появились Moltbook (соцсеть для ИИ-агентов OpenClaw, где они могут постить, комментировать и взаимодействовать друг с другом) и ClawHub (где публикуются различные навыки для OpenClaw).

Как мы уже писали ранее, за непродолжительное время OpenClaw успел стать не только героем громких заголовков в СМИ, но и настоящей головной болью для ИБ-специалистов. Так, ранее в официальном репозитории ClawHub обнаружили сотни вредоносных навыков, и к тому же выяснилось, что навыки можно легко скомпрометировать и заставить ИИ выдавать API-ключи, данные карт и персональную информацию пользователей. Тем временем в самом OpenClaw нашли три серьезные уязвимости.

Теперь же эксперты SecurityScorecard подсчитали, что десятки тысяч уязвимых инстансов OpenClaw свободно доступны через интернет по всему миру. Отметим, что цифры в live-дашборде компании быстро растут в реальном времени. Когда на прошлой неделе исследователи только опубликовали свой отчет, сообщалось о 135 000 доступных инстансов, теперь же их насчитывается более 220 000.

«Мы выявили массовую проблему с доступом и идентификацией, порожденную плохо защищенной автоматизацией в промышленных масштабах, — пишут специалисты. — Ориентированный на удобство деплой, настройки по умолчанию и слабый контроль доступа превратили мощные ИИ-агенты в лакомый кусок для атакующих».

Дело в том, что по умолчанию OpenClaw привязывается к 0.0.0.0:18789 — слушает на всех сетевых интерфейсах, включая публичный интернет. Для такого мощного инструмента правильнее было бы использовать 127.0.0.1 (только localhost), однако разработчики решили иначе.

Специалисты рекомендуют всем пользователям OpenClaw немедленно изменить привязку на localhost, однако отмечают, что большинство проблем вызвано вовсе не невнимательностью к настройкам. Многие риски являются следствием дизайна платформы, которая по своей природе должна вносить изменения в систему и открывать сервисы в сеть.

«Это как дать случайному человеку доступ к вашему компьютеру для помощи с задачами, — объясняют аналитики. — Если все контролируешь и проверяешь — это огромная помощь. Если уходишь и говоришь, что пришлешь инструкции по email, агент может выполнять команды от кого угодно».

При этом компрометация инстанса OpenClaw означает компрометацию всего, что видит агент: хранилище паролей, файловая система, мессенджеры, браузер, кеш с персональными данными. Хуже того, многие инстансы связаны с корпоративными IP-адресами, так что проблема затрагивает не только энтузиастов.

Исследователи подчеркивают, что OpenClaw нельзя доверять, особенно в корпоративной среде: