ИИ-агент или угроза? Хроника (не)безопасности OpenClaw

Вмес­те с этим OpenClaw стал нас­тоящей голов­ной болью для спе­циалис­тов по безопас­ности. Иссле­дова­тели находи­ли откры­тые инстан­сы тысяча­ми, вре­донос­ные навыки сот­нями, RCE-экс­пло­иты в один клик, инфости­леры, охо­тящи­еся за «душами» аген­тов, и даже пер­вые приз­наки того, что по сети начина­ют рас­простра­нять­ся промпт‑чер­ви.

В этой статье мы пос­тарались соб­рать основные исто­рии о безопас­ности OpenClaw в одну хро­ноло­гию. Сам инс­тру­мент мы здесь оста­вим за скоб­ками. Здесь погово­рим о том, что получа­ется, ког­да авто­ном­ный ИИ‑агент с дос­тупом ко все­му сра­зу прив­лека­ет вни­мание энту­зиас­тов и зло­умыш­ленни­ков.

Что такое OpenClaw

OpenClaw — опен­сор­сный ИИ‑агент, который запус­кает­ся локаль­но на машине поль­зовате­ля. Архи­тек­турно он пос­тро­ен вок­руг локаль­ного Gateway — WebSocket-сер­вера, через который про­ходит вся работа с сес­сиями, инс­тру­мен­тами и канала­ми свя­зи. Поверх него под­клю­чают­ся адап­теры к мес­сен­дже­рам (WhatsApp, Telegram, Slack, Discord, Signal, iMessage и десят­ки дру­гих), бра­узер­ный Control UI, CLI, при­ложе­ние в menu bar на macOS и мобиль­ные кли­енты. Глав­ной осо­бен­ностью про­екта ста­ла воз­можность общать­ся с аген­том пря­мо из при­выч­ного мес­сен­дже­ра, что и сде­лало OpenClaw вирус­ным.

В отли­чие от обыч­ных чат‑ботов, агент уме­ет дей­ство­вать про­активно: напоми­нать о делах, читать поч­ту, заходить в бра­узер, выпол­нять коман­ды в шел­ле, общать­ся с дру­гими аген­тами и работать в фоне 24/7. Его память хра­нит­ся локаль­но в Markdown-фай­лах и SQLite, в качес­тве «моз­га» по умол­чанию исполь­зует­ся Claude Opus от Anthropic, но под­держи­вают­ся и дру­гие ком­мерчес­кие LLM, а так­же локаль­ные модели через Ollama.

Про­ект в нояб­ре 2025 года запус­тил уже упо­мяну­тый выше Петер Штай­нбер­гер — извес­тный в сооб­щес­тве раз­работ­чик, в прош­лом автор популяр­ных инс­тру­мен­тов для iOS. OpenClaw он, по собс­твен­ному приз­нанию, соб­рал с помощью вайб‑кодин­га за счи­таные недели, без осо­бого тес­тирова­ния и без оглядки на безопас­ность. Нес­мотря на это, про­ект стал самым быс­тро­рас­тущим репози­тори­ем за всю исто­рию GitHub.

На стар­те инс­тру­мент успел дваж­ды сме­нить наз­вание. Изна­чаль­но он называл­ся Clawdbot, но Anthropic приг­розила раз­работ­чику судом из‑за соз­вучия с Claude. Штай­нбер­гер пере­име­новал про­ект в Moltbot, а через нес­коль­ко дней — в OpenClaw, потому что Moltbot, по его сло­вам, «не очень ложил­ся на язык». Парал­лель­но с этим у про­екта появи­лись сател­литы: соци­аль­ная сеть для ИИ‑аген­тов Moltbook и репози­торий навыков ClawHub.

В фев­рале 2026 года Штай­нбер­гер объ­явил, что перехо­дит работать в OpenAI и будет соз­давать «сле­дующее поколе­ние пер­сональ­ных аген­тов». Сам OpenClaw, по сло­вам гла­вы ком­пании, Сэма Аль­тма­на (Sam Altman), пере­едет в отдель­ный фонд и оста­нет­ся опен­сор­сным. К это­му момен­ту у про­екта нас­читыва­лось уже боль­ше чет­верти мил­лиона звезд, а так­же он соб­рал не менее впе­чат­ляющую кол­лекцию уяз­вимос­тей.

Сотни тысяч открытых инстансов

Пер­вый тре­вож­ный зво­ночек проз­венел прак­тичес­ки сра­зу пос­ле взле­та популяр­ности про­екта. Иссле­дова­тель Джей­мисон О'Рей­ли (Jamieson O'Reilly) из ком­пании Dvuln вруч­ную про­верил нес­коль­ко десят­ков экзем­пля­ров OpenClaw, дос­тупных в интерне­те без аутен­тифика­ции. Из них восемь ока­зались пол­ностью откры­тыми — без какой‑либо защиты вооб­ще.

Проб­лема воз­никала из‑за того, как был спро­екти­рован reverse proxy: сис­тема авто­мати­чес­ки доверя­ла любым «локаль­ным» под­клю­чени­ям, и при ошиб­ках в нас­трой­ках весь тра­фик из интерне­та счи­тал­ся доверен­ным. Через незащи­щен­ные панели управле­ния мож­но было получить API-клю­чи, OAuth-токены, читать исто­рию перепи­сок, выпол­нять коман­ды и похищать учет­ные дан­ные.

Один из слу­чаев О'Рей­ли выделил осо­бен­но:

Кто‑то нас­тро­ил свой акка­унт Signal на пуб­лично дос­тупном сер­вере управле­ния Clawdbot — с пол­ным дос­тупом на чте­ние. Там был URI для под­клю­чения устрой­ства Signal, QR-коды тоже были. Дос­таточ­но тап­нуть по нему на телефо­не с уста­нов­ленным Signal — и мож­но получить пол­ный дос­туп к акка­унту.

Па­рал­лель­но к похожим выводам приш­ли иссле­дова­тели ком­пании Bitdefender, нашед­шие в сети откры­тые даш­борды OpenClaw, через которые любой жела­ющий мог прос­матри­вать кон­фигура­ции, извле­кать API-клю­чи и читать перепис­ку из при­ват­ных чатов.

Од­нако нас­тоящий мас­штаб проб­лемы стал понятен через нес­коль­ко недель, ког­да за дело взя­лись ана­лити­ки из SecurityScorecard. Сна­чала спе­циалис­ты ком­пании обна­ружи­ли более 220 000 дос­тупных через интернет инстан­сов, а в нас­тоящее вре­мя их количес­тво уже пре­выша­ет 780 000.

При­чина ока­залась прос­той: по умол­чанию OpenClaw при­вязы­вал­ся к адре­су 0.0.0.0:18789 — то есть слу­шал на всех сетевых интерфей­сах, вклю­чая пуб­личный интернет. Для self-hosted ИИ‑аген­та, которо­му поль­зователь отда­ет дос­туп ко всей циф­ровой жиз­ни, оче­вид­ным выбором был бы 127.0.0.1 (толь­ко localhost), но раз­работ­чики решили ина­че.

Мы выяви­ли мас­совую проб­лему с дос­тупом и иден­тифика­цией, порож­денную пло­хо защищен­ной авто­мати­заци­ей в про­мыш­ленных мас­шта­бах, — писали в SecurityScorecard. — Ори­ента­ция на удобс­тво деп­лоя, нас­трой­ки по умол­чанию и сла­бый кон­троль дос­тупа прев­раща­ют мощ­ные ИИ‑аген­ты в лакомый кусок для ата­кующих.

При этом ана­лити­ки под­черки­вали, что неп­равиль­ные нас­трой­ки — лишь часть проб­лемы. Рис­ки так­же были заложе­ны в самой архи­тек­туре плат­формы, которая по сво­ей при­роде дол­жна была вно­сить изме­нения в сис­тему и откры­вать сер­висы наружу. Иссле­дова­тели при­води­ли сле­дующую ана­логию:

Это как дать слу­чай­ному челове­ку дос­туп к вашему компь­юте­ру для помощи с задача­ми. Если все кон­тро­лиру­ешь и про­веря­ешь — это огромная помощь. Если ухо­дишь и говоришь, что приш­лешь инс­трук­ции по email, агент может выпол­нять коман­ды от кого угод­но.

Ху­же того, отме­чалось, что мно­гие откры­тые инстан­сы при­вяза­ны к кор­поратив­ным IP-адре­сам. То есть проб­лема выш­ла из раз­ряда исто­рий про энту­зиас­тов, которые экспе­римен­тиру­ют с ИИ‑аген­том дома.

ClawHub и сотни вредоносных навыков

По­ка одни иссле­дова­тели занима­лись инстан­сами, дру­гие решили про­верить эко­сис­тему навыков. Навыки (skills) для OpenClaw — это пла­гины, рас­ширя­ющие воз­можнос­ти аген­та: от управле­ния умным домом до работы с крип­токошель­ками. Они пуб­лику­ются в офи­циаль­ном репози­тории ClawHub, который по умол­чанию открыт для всех. Единс­твен­ное огра­ниче­ние — акка­унт на GitHub дол­жен сущес­тво­вать как минимум неделю.

Ре­зуль­тат ока­зал­ся пред­ска­зуем: экспер­ты ком­пании Koi Security про­вели аудит всех 2857 дос­тупных на тот момент навыков и нас­читали 341 вре­донос­ный — все они ока­зались свя­заны с одной кам­пани­ей под условным наз­вани­ем ClawHavoc. Отме­чалось, что толь­ко с 27 янва­ря по 1 фев­раля 2026 года в ClawHub и на GitHub появи­лось более 230 вре­донос­ных пакетов.

Са­мый популяр­ный на тот момент из вре­донос­ных навыков — What Would Elon Do («Что бы сде­лал Илон?») — бла­года­ря нак­рутке заг­рузок занимал пер­вое мес­то в общем рей­тин­ге ClawHub и при этом перенап­равлял дан­ные жертв на внеш­ние сер­веры.

Схе­ма зараже­ния напоми­нала клас­сичес­кие ClickFix-ата­ки. Каж­дый навык содер­жал докумен­тацию, в которой неод­нократ­но упо­минал­ся отдель­ный инс­тру­мент AuthTool, яко­бы необ­ходимый для работы. На самом деле это был механизм дос­тавки мал­вари: для macOS — закоди­рован­ная в Base64 шелл‑коман­да, ска­чива­ющая пей­лоад с внеш­него адре­са, для Windows — защищен­ный паролем архив.

В качес­тве полез­ной наг­рузки в macOS исполь­зовал­ся вари­ант сти­лера Atomic (он же AMOS), который обхо­дил Gatekeeper коман­дой xattr -c и сра­зу зап­рашивал мак­сималь­но широкий дос­туп к фай­ловой сис­теме. Сти­лер охо­тил­ся за всем сра­зу: API-клю­чами крип­тобирж, seed-фра­зами, рас­ширени­ями крип­токошель­ков, дан­ными Keychain, пароля­ми бра­узе­ров, SSH-клю­чами, облачны­ми учет­ными дан­ными, Git-акка­унта­ми и .env-фай­лами.

Вре­донос­ные навыки мас­кирова­лись под все под­ряд: тай­псквот­тинг ClawHub (clawhub1, clawhubcli, clawwhub), крип­тоинс­тру­мен­ты (solana-wallet-tracker, polymarket-trader), YouTube-ути­литы, авто­обновле­ния, финан­совые тре­керы, интегра­ции с Google Workspace, поис­ковики потерян­ных бит­коинов. Отдель­но встре­чались навыки с реверс‑шел­лами (better-polymarket, polymarket-all-in-one) и пакеты, отправ­ляющие учет­ные дан­ные из ~/.clawdbot/.env на webhook.site.

Чуть поз­же Bitdefender Labs про­вели более широкий ана­лиз и приш­ли к выводу, что вре­донос­ными явля­ются при­мер­но 17% всех навыков, опуб­ликован­ных и про­ана­лизи­рован­ных в ClawHub за фев­раль. Боль­шинс­тво мал­вари ори­енти­рова­лось на кра­жу крип­товалю­ты: тре­керы кошель­ков (14%), навыки, свя­зан­ные с Polymarket (9,9%), Solana (9,3%), Phantom (8,2%), а так­же инс­тру­мен­ты для работы с Ethereum и Bitcoin (5,2%).

Ре­акция Штай­нбер­гера понача­лу све­лась к сооб­щению о том, что про­верять огромное количес­тво заявок физичес­ки невоз­можно, а ответс­твен­ность за безопас­ность лежит на самих поль­зовате­лях. В качес­тве вре­мен­ной меры борь­бы с хакера­ми он добавил на ClawHub фун­кцию подачи жалоб: авто­ризо­ван­ные поль­зовате­ли мог­ли отме­чать навыки как подоз­ритель­ные, а пакеты, наб­равшие более трех уни­каль­ных жалоб, по умол­чанию скры­вались.

Од­нако вско­ре под дав­лени­ем сооб­щес­тва коман­да OpenClaw пош­ла на более серь­езный шаг и зак­лючила пар­тнерс­тво с VirusTotal. Теперь все заг­ружа­емые в ClawHub навыки про­ходят про­вер­ку, вклю­чая глу­бокий ана­лиз через фун­кцию Code Insight. Для каж­дого пакета соз­дает­ся уни­каль­ный хеш SHA-256, который све­ряет­ся с базой VirusTotal: если сов­падений нет, навык отправ­ляет­ся на ана­лиз. «Безопас­ные» одоб­ряют­ся авто­мати­чес­ки, «подоз­ритель­ные» получа­ют пре­дуп­режде­ние, а «вре­донос­ные» бло­киру­ются. Кро­ме того, все активные навыки ежед­невно перес­каниру­ются на слу­чай, если ранее чис­тый код вдруг изме­нил­ся.

При этом сами раз­работ­чики чес­тно пре­дуп­редили: VirusTotal — не панацея. Навыки с хит­ро замас­кирован­ными промпт‑инжекта­ми впол­не могут обой­ти про­вер­ки и остать­ся незаме­чен­ными.

ClawJacked: один сайт — и агент твой

В кон­це фев­раля 2026 года иссле­дова­тели из Oasis Security опуб­ликова­ли отчет об уяз­вимос­ти, которую наз­вали ClawJacked. Проб­лема поз­воляла вре­донос­ному сай­ту незамет­но под­клю­чить­ся к локаль­но запущен­ному экзем­пля­ру OpenClaw, подоб­рать пароль и перех­ватить кон­троль — все через одну вклад­ку бра­узе­ра.

Уяз­вимость была обна­руже­на в шлю­зовом сер­висе OpenClaw. По умол­чанию шлюз при­вязы­вает­ся к localhost и откры­вает WebSocket-интерфейс. Заг­воз­дка зак­лючалась в том, что бра­узер­ные полити­ки кросс‑домен­ных зап­росов не бло­киру­ют WebSocket-соеди­нения к localhost. Поэто­му вре­донос­ный сайт, откры­тый в бра­узе­ре поль­зовате­ля OpenClaw, мог через JavaScript уста­новить соеди­нение с локаль­ным шлю­зом и прис­тупить к брут­форсу пароля.

В OpenClaw, конеч­но, были огра­ниче­ния для защиты от перебо­ра, но loopback-адрес (127.0.0.1) по умол­чанию был исклю­чен из них — что­бы не бло­киро­вать локаль­ные CLI-сес­сии. Этой осо­бен­ностью иссле­дова­тели и вос­поль­зовались. В резуль­тате ско­рость перебо­ра дос­тигала сотен попыток в секун­ду, без какого‑либо трот­тлин­га и логиро­вания.

При такой ско­рос­ти спи­сок рас­простра­нен­ных паролей исчерпы­вает­ся мень­ше чем за секун­ду, а перебор боль­шого сло­варя занима­ет счи­тан­ные минуты, — отме­тили в Oasis Security. — У при­думан­ного челове­ком пароля прос­то нет шан­сов.

Пос­ле под­бора пароля ата­кующий регис­три­ровал себя как доверен­ное устрой­ство (шлюз авто­мати­чес­ки одоб­рял соп­ряжение с localhost без под­твержде­ния) и получал пол­ный дос­туп к OpenClaw с пра­вами адми­нис­тра­тора: хакерам ста­нови­лись дос­тупны учет­ные дан­ные, спи­сок под­клю­чен­ных узлов, логи, исто­рия сооб­щений. Появ­лялась даже воз­можность инс­трук­тировать самого ИИ‑аген­та, вынуж­дая его искать кон­фиден­циаль­ные дан­ные в перепис­ке, извле­кать фай­лы с под­клю­чен­ных устрой­ств или выпол­нять про­изволь­ные шелл‑коман­ды на свя­зан­ных машинах.

Патч для ClawJacked вошел в сос­тав вер­сии 2026.2.26, которую раз­работ­чики выпус­тили в течение 24 ч пос­ле получе­ния отче­та спе­циалис­тов.

RCE в один клик

Ос­нователь иссле­дова­тель­ской груп­пы DepthFirst и быв­ший инже­нер Anthropic Мав Левин (Mav Levin) опуб­ликовал отчет о це­поч­ке экс­пло­итов, ведущей к уда­лен­ному выпол­нению кода через OpenClaw. Для ком­про­мета­ции жер­тве дос­таточ­но было клик­нуть по ссыл­ке.

Ко­рень проб­лемы был похож на ClawJacked, но экс­плу­ата­ция выг­лядела еще про­ще: сер­вер OpenClaw не про­верял заголо­вок WebSocket origin, то есть при­нимал зап­росы с любых сай­тов. Спе­циаль­но под­готов­ленная веб‑стра­ница мог­ла выпол­нить JavaScript на сто­роне кли­ента, извлечь токен аутен­тифика­ции, открыть WebSocket-соеди­нение с сер­вером и прой­ти авто­риза­цию по это­му токену.

Даль­ше скрипт отклю­чал песоч­ницу и механизм под­твержде­ния перед выпол­нени­ем опас­ных команд и отправ­лял зап­рос node.invoke для реали­зации RCE. По сло­вам Левина, весь про­цесс занимал мил­лисекун­ды.

Ко­ман­да OpenClaw опе­ратив­но выпус­тила патч и опуб­ликова­ла бюл­летень безопас­ности, пос­вящен­ный проб­леме. Упо­минав­ший­ся выше Джей­мисон О'Рей­ли, став­ший к тому момен­ту учас­тни­ком про­екта OpenClaw, поб­лагода­рил Левина за наход­ку и приз­вал иссле­дова­телей про­дол­жать при­сылать отче­ты.

Moltbook и промпт-черви

Со­циаль­ная сеть для ИИ‑аген­тов Moltbook, написан­ная Мэт­том Шлих­том (Matt Schlicht) с помощью вайб‑кодин­га, понача­лу казалась шут­кой. Плат­форма напоми­нала клон Reddit, но пред­назна­чалась исклю­читель­но для обще­ния ИИ‑аген­тов меж­ду собой. Поль­зовате­ли OpenClaw регис­три­рова­ли в ней сво­их аген­тов и наб­людали, как те живут собс­твен­ной жизнью: пыта­ются осно­вать новую религию, обсужда­ют сво­их хозя­ев и даже про­буют орга­низо­вать вос­ста­ние про­тив людей. Мно­гие, впро­чем, подоз­ревали, что зна­читель­ную часть пос­тов на сай­те все‑таки пишут люди.

Од­нако шут­ки закон­чились, ког­да О'Рей­ли обна­ружил, что дос­туп к базе дан­ных Moltbook открыт, а сек­ретные API-клю­чи лежат в сво­бод­ном дос­тупе. По сло­вам экспер­та, это поз­воляло ата­кующим пуб­ликовать сооб­щения от име­ни любого аген­та, вклю­чая аген­тов извес­тных в индус­трии людей. Нап­ример, к Moltbook при­вязал сво­его лич­ного аген­та Андрей Кар­пати (Andrej Karpathy) из Eureka Labs — быв­ший дирек­тор по ИИ в Tesla и соос­нователь OpenAI.

У Кар­пати 1,9 мил­лиона под­писчи­ков на X, и он явля­ется одним из самых вли­ятель­ных голосов в индус­трии ИИ, — отме­тил О'Рей­ли. — Пред­ставь­те себе фей­ковые выс­казыва­ния об ИИ‑безопас­ности, рек­ламу крип­тоска­ма или про­вока­цион­ные полити­чес­кие заяв­ления, написан­ные яко­бы от его име­ни.

Раз­работ­чик Moltbook не ком­менти­ровал эту проб­лему пуб­лично, но к момен­ту рас­кры­тия информа­ции о баге тот уже был устра­нен. По всей видимос­ти, дело сво­дилось к неп­равиль­но нас­тро­енной опен­сор­сной СУБД.

Не менее инте­рес­ной ока­залась и дру­гая наход­ка, свя­зан­ная с Moltbook. Иссле­дова­тели из Simula Research Laboratory про­ана­лизи­рова­ли пос­ты на плат­форме и обна­ружи­ли, что 506 из них (око­ло 2,6% выбор­ки) содер­жат скры­тые промпт‑инжекты. По мне­нию ана­лити­ков, это были пер­вые приз­наки появ­ления в сети промпт‑чер­вей (prompt worm) — саморас­простра­няющих­ся инс­трук­ций, переда­ющих­ся меж­ду ИИ‑аген­тами.

Пер­выми кон­цепцию промпт‑чер­вей еще в мар­те 2024 года опи­сали иссле­дова­тели Бен Нас­си (Ben Nassi) из Кор­нелл­ско­го уни­вер­ситета, Став Коэн (Stav Cohen) из Изра­иль­ско­го тех­нологи­чес­кого инсти­тута и Рон Бит­тон (Ron Bitton) из Intuit. Тог­да они про­демонс­три­рова­ли ата­ку Morris-II, наз­ванную в честь леген­дарно­го чер­вя Мор­риса 1988 года, и доказа­ли, что самореп­лициру­ющиеся пром­пты могут рас­простра­нять­ся через ИИ‑помощ­ников по элек­трон­ной поч­те, попут­но похищая дан­ные и рас­сылая спам.

OpenClaw открыл широкое поле для подоб­ных атак. Сце­нарий выг­лядел сле­дующим обра­зом: аген­ту уста­нав­лива­ют навык из ClawHub, и этот навык велит пос­тить кон­тент на Moltbook. Дру­гие аген­ты чита­ют этот кон­тент, в котором содер­жатся инс­трук­ции. Аген­ты сле­дуют этим инс­трук­циям, вклю­чая пос­тинг похоже­го кон­тента для дру­гих аген­тов. В ито­ге цепоч­ка замыка­ется, и промпт ста­новит­ся вирусом сре­ди ИИ‑аген­тов.

Для срав­нения: червь Мор­риса в свое вре­мя при­вел к соз­данию CERT/CC, но интернет того вре­мени сос­тоял при­мер­но из 60 000 машин, тог­да как эко­сис­тема OpenClaw уже нас­читыва­ет сот­ни тысяч аген­тов.

Ис­сле­дова­тели отме­чали, что пока подоб­ные ата­ки сдер­жива­ет один важ­ный фак­тор: OpenClaw в основном работал через API OpenAI и Anthropic. У этих ком­паний есть «рубиль­ник» — они видят пат­терны исполь­зования, сис­темные пром­пты и могут заб­локиро­вать подоз­ритель­ную активность. Одна­ко экспер­ты пре­дуп­режда­ли, что окно воз­можнос­тей быс­тро зак­рыва­ется. Локаль­ные LLM (Mistral, DeepSeek, Qwen) совер­шенс­тву­ются, и в обоз­римом будущем энту­зиас­ты смо­гут запус­кать на собс­твен­ном железе аген­тов уров­ня нынеш­него Opus 4.6. Тог­да никако­го «рубиль­ника» уже не будет.

Стилеры пришли за «душами» агентов

Па­рал­лель­но с исто­рией про навыки и промпт‑чер­вей коман­да Hudson Rock про­ана­лизи­рова­ла код OpenClaw и пре­дуп­редила: зна­читель­ная часть кон­фиден­циаль­ных дан­ных хра­нит­ся откры­тым тек­стом — в фай­лах Markdown и JSON на локаль­ной машине поль­зовате­ля. Из‑за это­го иссле­дова­тели пре­дуп­режда­ли, что любой инфости­лер на хос­те с запущен­ным OpenClaw получит все эти дан­ные без тру­да.

Этот прог­ноз сбыл­ся быс­трее, чем ожи­дали сами спе­циалис­ты. В середи­не фев­раля 2026 года Hudson Rock
за­фик­сирова­ла пер­вый реаль­ный слу­чай кра­жи кон­фигура­ции OpenClaw. Винов­ником ока­зал­ся вари­ант сти­лера Vidar. Тог­да в ком­пании отме­чали:

Это важ­ный рубеж в эво­люции поведе­ния инфости­леров: переход от кра­жи бра­узер­ных учет­ных дан­ных к похище­нию «душ» и лич­ных дан­ных из пер­сональ­ных ИИ‑аген­тов.

Са­мое инте­рес­ное, что Vidar не охо­тил­ся за OpenClaw целенап­равлен­но. Мал­варь запус­тила обыч­ную про­цеду­ру сбо­ра фай­лов и ска­ниро­вала дирек­тории по клю­чевым сло­вам вро­де «token» и «private key», а фай­лы в пап­ке .openclaw содер­жали нуж­ные стро­ки.

По­хищен­ный набор дан­ных ока­зал­ся обширным. Файл Openclaw.json хра­нил замас­кирован­ный email жер­твы, путь к рабочей дирек­тории и токен аутен­тифика­ции шлю­за с высокой энтро­пией — потен­циаль­но это­го хва­тало, что­бы под­клю­чить­ся к локаль­ному инстан­су или ими­тиро­вать легитим­ного кли­ента в аутен­тифици­рован­ных зап­росах.

Файл Device.json содер­жал зна­чения publicKeyPem и privateKeyPem, исполь­зуемые для при­вяз­ки и под­писи: получив при­ват­ный ключ, ата­кующий мог под­писывать сооб­щения от име­ни устрой­ства жер­твы, обхо­дить про­вер­ки Safe Device и получать дос­туп к зашиф­рован­ным логам и облачным сер­висам.

На­конец, фай­лы Soul.md, AGENTS.md и MEMORY.md опре­деля­ли поведе­ние аген­та и накап­ливали кон­текст: логи пов­седнев­ной активнос­ти, лич­ную перепис­ку, записи из кален­даря.

Эк­спер­ты под­черки­вали: этих дан­ных впол­не дос­таточ­но для пол­ной ком­про­мета­ции циф­ровой лич­ности жер­твы. Хуже того, по мере того как OpenClaw будет все глуб­же интегри­ровать­ся в рабочие про­цес­сы, сти­леры навер­няка ста­нут нацели­вать­ся на ИИ‑аген­тов умыш­ленно.

Уязвимостей не становится меньше

К началу апре­ля 2026 года незави­симый тре­кер jgamblin/OpenClawCVEs нас­читывал уже 138 зарегис­три­рован­ных CVE для OpenClaw (при­чем семь из них получи­ли ста­тус кри­тичес­ких), наб­равших­ся за 63 дня. То есть ежед­невно обна­ружи­вают при­мер­но 2,2 новых уяз­вимос­ти.

При этом 41% всех най­ден­ных проб­лем ока­зались высокой или кри­тичес­кой сте­пени серь­езности, что явля­ется весь­ма пло­хим соот­ношени­ем для опен­сор­сно­го про­екта на любой ста­дии зре­лос­ти.

Пе­речис­лять все проб­лемы в этой статье бес­смыс­ленно, но в качес­тве при­мера мож­но при­вес­ти CVE-2026-32922 — кри­тичес­кую уяз­вимость (9,9 бал­ла по шка­ле CVSS), свя­зан­ную с эска­лаци­ей при­виле­гий, при которой любое соп­ряжен­ное устрой­ство получа­ло пол­ный адми­нис­тра­тив­ный дос­туп через один API-вызов.

Низ­копри­виле­гиро­ван­ного токена operator.pairing, который выда­ется при обыч­ной про­цеду­ре соп­ряжения, ока­зыва­лось дос­таточ­но для повыше­ния прав до operator.admin и выпол­нения про­изволь­ных команд на всех под­клю­чен­ных узлах.

К сожале­нию, это толь­ко вер­хушка айсбер­га. Каж­дый новый патч зак­рыва­ет одну проб­лему, но поч­ти сра­зу обна­жает сосед­нюю. Это сов­сем неуди­витель­но, ведь безопас­ность не была заложе­на в про­ект изна­чаль­но.

Реакция индустрии и регуляторов

Вско­ре пос­ле появ­ления OpenClaw экспер­ты из Palo Alto Networks оха­рак­теризо­вали про­ект как воп­лощение «леталь­ного трио» уяз­вимос­тей, ведь агент име­ет дос­туп к кон­фиден­циаль­ным дан­ным, к ненадеж­ному кон­тенту и к внеш­ним ком­муника­циям одновре­мен­но.

За­тем на OpenClaw обра­тили вни­мание не толь­ко ИБ‑иссле­дова­тели. Так, в начале года ана­лити­ки Gartner наз­вали про­ект «неп­рием­лемым рис­ком кибер­безопас­ности» для биз­неса и пореко­мен­довали запус­кать его исклю­читель­но в изо­лиро­ван­ных сре­дах с одно­разо­выми учет­ными дан­ными.

Чуть поз­же Наци­ональ­ный центр реаги­рова­ния на компь­ютер­ные инци­ден­ты Китая (CNCERT/CC) опуб­ликовал офи­циаль­ное пре­дуп­режде­ние: дефол­тная кон­фигура­ция OpenClaw, по оцен­ке спе­циалис­тов, ока­залась «край­не сла­ба» с точ­ки зре­ния защиты.

В перечень рис­ков CNCERT/CC вош­ли: внед­рение вре­донос­ных инс­трук­ций в веб‑стра­ницы, отравлен­ные навыки, уже най­ден­ные кри­тичес­кие уяз­вимос­ти, а так­же челове­чес­кий фак­тор (поль­зовате­ли могут по неос­торож­ности сами уда­лить важ­ные дан­ные). В качес­тве защит­ных мер экспер­ты посове­това­ли изо­лиро­вать OpenClaw в кон­тей­нере, зак­рыть порт управле­ния из интерне­та, нас­тро­ить стро­гую аутен­тифика­цию и кон­троль дос­тупа, отклю­чить авто­мати­чес­кие обновле­ния и огра­ничить уста­нов­ку пла­гинов.

Нуж­но отме­тить, что у это­го пре­дуп­режде­ния был любопыт­ный кон­текст. На фоне нас­тояще­го бума OpenClaw в Китае круп­ные облачные плат­формы напере­бой пред­лагали «раз­верты­вание в один клик», а в начале мар­та в Шэнь­чжэ­не око­ло тысячи человек выс­тро­ились в оче­редь у штаб‑квар­тиры Tencent, где инже­неры ком­пании бес­плат­но ста­вили OpenClaw всем жела­ющим пря­мо на мес­те.

Вско­ре пос­ле пуб­ликации CERT ста­ло извес­тно, что в ряде государс­твен­ных учрежде­ний и гос­банков Китая зап­ретили уста­нав­ливать OpenClaw на рабочие компь­юте­ры. По дан­ным СМИ, некото­рым сот­рудни­кам было пред­писано сооб­щить руководс­тву, если они уже уста­нови­ли при­ложе­ние, — для про­вер­ки и воз­можно­го уда­ления. Мес­тами зап­рет рас­простра­нил­ся даже на лич­ные устрой­ства, под­клю­чен­ные к кор­поратив­ной сети.

Так­же кон­фликт Штай­нбер­гера с ком­пани­ей Anthropic про­дол­жил раз­вивать­ся. Если в янва­ре пред­ста­вите­ли ком­пании огра­ничи­лись тем, что поп­росили раз­работ­чика пере­име­новать про­ект из‑за соз­вучия с Claude, то к вес­не ситу­ация обос­три­лась.

4 апре­ля ком­пания заб­локиро­вала поль­зовате­лям под­писок Claude Pro и Max воз­можность пус­кать лимиты сво­их тарифов через сто­рон­ние аген­тные «обвязки» (third-party harnesses), и пер­вой в этом спис­ке ока­зал­ся OpenClaw.

Что­бы про­дол­жить поль­зовать­ся Claude через сто­рон­ние аген­ты, теперь нуж­но либо под­клю­чать отдель­ную тарифи­кацию extra usage по схе­ме pay-as-you-go, либо нап­рямую исполь­зовать API-ключ и пла­тить пол­ную цену.

Фор­маль­но это решение в ком­пании объ­ясни­ли воз­росшей наг­рузкой: под­писки не были рас­счи­таны на аген­тные сце­нарии с неп­рерыв­ными цик­лами рас­сужде­ний, которые рас­ходу­ют вычис­литель­ные мощ­ности сов­сем не так, как обыч­ный чат.

По оцен­кам ана­лити­ков, раз­рыв меж­ду тем, что пла­тили самые активные поль­зовате­ли OpenClaw на без­лимит­ных под­писках, и реаль­ной сто­имостью того же объ­ема через API был более чем пятик­ратный. Сооб­щалось, что пос­ле бло­киров­ки сче­та у ряда поль­зовате­лей OpenClaw могут вырас­ти в десять или даже в пять­десят раз. В Anthropic попыта­лись смяг­чить переход: поль­зовате­лям пред­ложили разовый кре­дит, рав­ный месяч­ной сто­имос­ти под­писки, и скид­ку до 30% на пре­доп­лачен­ные пакеты extra usage.

При этом в мар­те Anthropic пред­ста­вила собс­твен­ного аген­та Cowork и фун­кцию Claude Dispatch для уда­лен­ного управле­ния аген­тами. То есть фун­кци­ональ­ность, нап­рямую кон­куриру­ющую с OpenClaw.

Штай­нбер­гер про­ком­менти­ровал про­изо­шед­шее корот­ко:

За­бав­но, как сов­пада­ют сро­ки: сна­чала они копиру­ют популяр­ные фичи в свою зак­рытую сис­тему, а потом бло­киру­ют опен­сорс.

В середи­не апре­ля раз­работ­чик опуб­ликовал в соц­сетях скрин­шот пись­ма от Anthropic о бло­киров­ке его собс­твен­ного акка­унта за «подоз­ритель­ную активность». Он заверил, что доб­росовес­тно исполь­зовал API по новым пра­вилам.

Дос­туп Штай­нбер­геру вер­нули в течение нес­коль­ких часов пос­ле того как пост завиру­сил­ся, а один из инже­неров Anthropic уве­рил раз­работ­чика, что ком­пания не банила его за исполь­зование OpenClaw. Под этой пуб­ликаци­ей раз­верну­лась бур­ная дис­куссия, в ходе которой один из ком­мента­торов упрекнул Штай­нбер­гера в том, что тот сам выб­рал «не ту сто­рону», уйдя в OpenAI вмес­то Anthropic. Ответ раз­работ­чика был таким:

Од­ни поп­риветс­тво­вали и встре­тили меня, а дру­гие — прис­лали юри­дичес­кие угро­зы.

Выводы

Эрик Швейк (Eric Schwake) из Salt Security сфор­мулиро­вал глав­ную проб­лему OpenClaw корот­ко: меж­ду поль­зователь­ским энту­зиаз­мом и реаль­ными тре­бова­ниями к безопас­ности сущес­тву­ет огромный раз­рыв. Что­бы раз­вернуть аген­та безопас­но, нуж­но понима­ние API-безопас­ности, пра­виль­ная кон­фигура­ция и кон­троль дос­тупа. Боль­шинс­тво поль­зовате­лей прос­то не задумы­вают­ся о таких вещах.

Ко­ман­да Intruder добави­ла к это­му еще и архи­тек­турный «диаг­ноз»: OpenClaw спро­екти­рован с упо­ром на прос­тоту раз­верты­вания, а не на безопас­ность по умол­чанию. Здесь нет при­нуди­тель­ных огра­ниче­ний, про­вер­ки учет­ных дан­ных, песоч­ницы для пла­гинов. Из‑за это­го некото­рые ИБ‑иссле­дова­тели и вов­се называ­ют OpenClaw «инфости­лером, замас­кирован­ным под ИИ‑ассистен­та».

За пос­ледние 20 лет ИБ‑индус­трия соз­дала мно­жес­тво защит­ных барь­еров — песоч­ницы, изо­ляцию про­цес­сов, модели раз­решений, фай­рво­лы. ИИ‑аген­ты лома­ют всю эту защиту разом. Им нужен дос­туп к фай­лам, к учет­ным дан­ным, к выпол­нению команд, к внеш­ним сер­висам. И ког­да такой агент ока­зыва­ется дос­тупен из сети или его ком­про­мети­руют через цепоч­ку пос­тавок, ата­кующий получа­ет пол­ный дос­туп ко все­му сра­зу.

OpenClaw — наг­лядная демонс­тра­ция того, как могут выг­лядеть ИИ‑помощ­ники будуще­го, но пока это экспе­римен­таль­ная раз­работ­ка, не пред­назна­чен­ная для тех, кто не готов про­менять удобс­тво на серь­езные рис­ки.

Эн­тузи­асты, впро­чем, уже наш­ли спо­соб час­тично сни­зить угро­зу: они мас­сово ску­пают Mac mini для раз­верты­вания OpenClaw на выделен­ном железе. Ком­пак­тный, энер­гоэф­фектив­ный и всег­да вклю­чен­ный мини‑сер­вер ста­новит­ся отличным хос­том для ИИ‑аген­та.

Не­кото­рые поль­зовате­ли даже заводят для OpenClaw отдель­ные email-адре­са и акка­унты в менед­жерах паролей — как для нового сот­рудни­ка. Такая изо­ляция сни­жает рис­ки, одна­ко не устра­няет их пол­ностью: даже на выделен­ной машине агент по‑преж­нему тре­бует пол­ного дос­тупа ко все­му, что необ­ходимо ему для работы.