Национальный центр реагирования на компьютерные инциденты Китая (CNCERT/CC) опубликовал предупреждение о серьезных рисках безопасности, связанных с агентным ИИ-инструментом OpenClaw. По мнению специалистов, дефолтная конфигурация OpenClaw «крайне слаба» с точки зрения защиты.

В опубликованном в WeChat предупреждении специалисты CERT перечислили основные угрозы, связанные с OpenClaw: злоумышленники могут атаковать инструмент, встраивая вредоносные инструкции в веб-страницы, а отравленные skills для ИИ-агента могут подвергать пользователей риску. Кроме того, в CERT напоминают, что в OpenClaw уже нашли ряд серьезных уязвимостей, которые приводят к краже учетных данных и открывают дорогу для дальнейших атак. Отдельную проблему представляют и сами пользователи — специалисты опасаются, что по неосторожности те могут удалить важные данные.

В качестве мер защиты CERT рекомендует изолировать OpenClaw в контейнере, закрыть порт управления от доступа через интернет, настроить строгую аутентификацию и контроль доступа, а также отключить автоматические обновления и ограничить установку плагинов.

При этом оценка китайского CERT оказалась даже мягче, чем позиция аналитической компании Gartner. В начале года специалисты Gartner охарактеризовали OpenClaw как «неприемлемый риск кибербезопасности» для бизнеса и рекомендовали запускать инструмент исключительно в изолированных средах с одноразовыми учетными данными.

Следует отметить, что предупреждение CERT было опубликовано на фоне настоящего бума OpenClaw в Китае. Крупные облачные платформы наперебой предлагают сервисы для развертывания агента в один клик. К примеру, в начале марта около тысячи человек выстроились в очередь у штаб-квартиры Tencent в Шэньчжэне, где инженеры Tencent бесплатно устанавливали OpenClaw всем желающим прямо на месте.

Однако энтузиазм бизнеса и пользователей, похоже, обеспокоил власти всерьез. Уже на следующий день после публикации CERT стало известно, что в ряде государственных учреждений и госбанков Китая запретили устанавливать OpenClaw на рабочие компьютеры. По данным Bloomberg, некоторые сотрудники получили указания сообщить руководству, если они уже установили приложение, — для проверки безопасности и возможного удаления. В отдельных случаях запрет распространился и на личные устройства, подключенные к корпоративной сети.