Описывая разработку, Абид Али Аван, специалист по анализу данных и моделям машинного обучения, отмечал, что это «не просто слой для чат-ботов»: «Она запускает процесс шлюза, устанавливает исполняемые навыки, подключается к внешним инструментам и может выполнять реальные действия в вашей системе и на платформах обмена сообщениями». Эти возможности отличают OpenClaw от подобных сервисов, и именно из-за них, по мнению эксперта, использовать ее следует с осторожностью. По сути работа с платформой — это управление сложной инфраструктурой.
Что такое OpenClaw: для чего используют ИИ-агента и можно ли ему доверять?
Платформа стала настоящей сенсацией, но сенсации — это не всегда хорошо.
Unsplash
Содержание
Новинка, которая сразу стала популярной
В конце 2025 года многие из тех, кто пользуется технологиями искусственного интеллекта и следит за новостями в этой сфере, были очень воодушевлены. На рынке появилась OpenClaw — одна из самых мощных платформ для создания автономных агентов с открытым исходным кодом. Создатель, австрийский разработчик Питер Штайнбергер, позаботился о том, чтобы платформа была интуитивно понятной, из-за чего она моментально стала очень популярна.
«Как только вы начинаете активировать навыки, открывать доступ к шлюзу или предоставлять агенту доступ к файлам, секретам и плагинам, вы начинаете использовать систему, которая несет в себе реальные риски для безопасности и эксплуатации», — добавил Аван. Попробуем разобраться, что же это такое, а главное — почему ставшая мгновенно популярной новинка, тут же вызвала и сомнения экспертов.
Что такое ИИ-агент OpenClaw
Эксперты характеризуют OpenClaw как саморазмещаемого ИИ-агента, работающего на компьютере и взаимодействующего с уже используемыми на нем мессенджерами. Его проще представить как локального помощника, который не просто отвечает на вопросы, но и выполняет действия: читает, изменяет файлы, запускает команды, просматривает веб-страницы, управляет календарем, устанавливает инструменты от имени пользователя.
В отличие от облачных ИИ-помощников, где ваши данные хранятся на чужой инфраструктуре, OpenClaw работает там, где вы хотите: на ноутбуке, в домашней лаборатории, на VPS (виртуальный выделенный сервер). Все данные хранятся локально, вы контролируете бэкэнд модели и получаете агента, который интегрируется с инструментами, которые вы уже используете.
Неудивительно, что за первую же неделю OpenClaw набрала более 180 000 звезд на GitHub, привлекла два миллиона пользователей и породила экосистему из тысяч сторонних навыков. Платформа вызвала бурный и непредсказуемый ажиотаж, характерный для вирусных проектов с открытым исходным кодом.
Например, компания Lovense, выпускающая секс-игрушки, объявила об интеграции с OpenClaw, и теперь ее гаджетами можно управлять с помощью ИИ-агента. Один из разработчиков создал проект Clawra — ИИ-подружку на базе платформы, которая вскоре после запуска набрала 600 000 просмотров. В одном широко обсуждаемом инциденте инженер-программист предоставил OpenClaw доступ к мессенджеру и наблюдал, как система вышла из-под контроля, засыпав его и его жену более чем 500 сообщениями и спамом случайных контактов.
Поначалу эти истории казались просто занимательными, но они также иллюстрируют нечто важное. OpenClaw получает глубокий доступ к цифровой жизни человека, а механизмы защиты не соответствуют необходимым требованиям.
Тревога по поводу безопасности
Здесь, действительно, начинается кое-что неприятное и даже тревожное. За свою короткую историю OpenClaw, мягко говоря, показала себя не лучшим образом в плане безопасности.
Уязвимость CVE-2026-25253
В конце января 2026 года исследователи обнаружили уязвимость CVE-2026-25253, имеющую высокую степень серьезности и получившую оценку 8,8 по шкале CVSS. Она заключалась в том, что интерфейс управления OpenClaw принимал параметр gatewayUrl из строки запроса и автоматически устанавливал соединение WebSocket с этим URL-адресом, передавая при этом токен аутентификации пользователя без подтверждения с его стороны.
Это было элегантно в своей простоте. Злоумышленник создает вредоносную ссылку, жертва переходит по ней (или даже просто посещает страницу, содержащую эту ссылку), токен аутентификации передается на контролируемый злоумышленником сервер. Затем происходит подключение к локальному шлюзу жертвы, меняется конфигурация для отключения песочницы и политики инструментов, выполняются произвольные команды. По сути это полная компрометация в один клик.
Уязвимость была исправлена в версии 2026.1.29, но это было лишь одно из трех предупреждений высокой степени серьезности с 31 января 2026 года. Речь также шла о дополнительных уязвимостях внедрения команд CVE-2026-25157 и CVE-2026-24763. Еще два предупреждения последовали в начале февраля. Менее чем через неделю появилось еще пять предупреждений. Эксперты пришли к выводу, что безопасность была второстепенным вопросом на этапе разработки.
Проблема цепочки поставок ClawHub
Расширяемость OpenClaw обеспечивается за счет плагинов «навыков», которые распространяются через ClawHub — торговую площадку проекта. Компания Koi Security провела аудит 2857 доступных навыков, и результаты оказались тревожными: был обнаружен 341 вредоносный навык, а 335 оказались связаны с одной скоординированной операцией, которую назвали ClawHavoc.
Эти вредоносные программы маскировались под легитимные инструменты, ботов для торговли криптовалютой, утилиты для повышения производительности и распространяли вредоносное ПО для кражи информации. Здесь присутствовали Atomic Stealer, нацеленный на macOS, программы для сбора учетных данных для Windows и инструкции по социальной инженерии в стиле ClickFix. Одна из программ, маскирующаяся под торговый инструмент Polymarket, открывала интерактивную обратную оболочку на сервер злоумышленника, предоставляя полный удаленный контроль.
С тех пор ситуация ухудшилась. Исследования нескольких компаний выявили почти 900 вредоносных или опасно уязвимых навыков. OpenClaw отреагировала на это, интегрировав сканирование VirusTotal и добавив механизм сообщения о нарушениях. Однако основная проблема остается: ClawHub — это непроверенная цепочка поставок ПО, и пользователи устанавливают навыки с тем же уровнем доступа, что и сам агент.
Риски безопасности выявлены повсюду
Кевин Брин, эксперт по киберугрозам, напоминает об исследованиях безопасности, которые обнаружили более 40 000 экземпляров OpenClaw с небезопасными настройками по умолчанию. Последующие сканирования SecurityScorecard выявили в общей сложности более 135 000 экземпляров, находящихся в интернете, из них более 12 800 оказались уязвимыми для прямой эксплуатации через уже исправленную уязвимость удаленного выполнения кода (RCE). Все они содержали утечки ключей API, истории чатов и учетных данных, которые оказались доступны любому, кто знает, где искать.
«Основная причина всего этого кроется в двойственности настроек OpenClaw по умолчанию. При установке через командную строку на рабочем столе используется IP-адрес 127.0.0.1:18789 (только для обратной связи), что вполне логично. Однако официальный путь развертывания Docker, который используется для большинства облачных и VPS-экземпляров, по умолчанию использует IP-адрес 0.0.0.0:18789 через скрипт docker-setup.sh, это означает, что шлюз прослушивает все сетевые интерфейсы, включая общедоступный интернет», — отмечает Брин.
Добавьте к этому руководства по развертыванию в облаке, активно рекомендующие режим локальной сети, и целевую аудиторию, которая ценит простоту настройки больше, чем сложную конфигурацию. Почти 80% уязвимых экземпляров по-прежнему работают на устаревших сборках, выпущенных до усиления защиты от аутентификации. В результате пользователи получают массовую уязвимость.
Миф о безопасности в домашних условиях
Опытные пользователи думают, что могут обойти эти ограничения, используя песочницы. Однако это невозможно. Поскольку OpenClaw требует глубокой интеграции с сервисами обмена сообщениями и файловыми системами для эффективной работы, вы по сути строите высокоскоростной мост для вредоносного ПО. Даже при локальном хостинге одна вредоносная ссылка в браузере может запустить удаленное выполнение кода, а одна галлюцинация агента — обойти средства защиты.
Кевин Брин призывает быть реалистами в управлении рисками. Эксперт дает следующие советы тем, кто хочет использовать OpenClaw дома:
- Регулярно обновляйте OpenClaw, проект быстро выпускает исправления.
- Никогда не предоставляйте доступ к экземпляру программы через интернет. Запускайте его локально, за брандмауэром.
- Относитесь к навыкам ClawHub с тем же подозрением, с каким отнеслись бы к случайному npm-пакету от нового автора. Проверяйте исходный код и издателя. Читайте код.
- Поймите, что вы предоставляете ИИ-агенту возможность выполнять команды и изменять файлы в вашей системе. Если она будет взломана, машина тоже будет взломана.
- Избегайте подключения к устройствам, содержащим конфиденциальные учетные и финансовые данные или любую другую информацию, которую вы не хотели бы потерять.
«Если вы любитель экспериментировать, который воспринимает OpenClaw как интересный проект и держит его в изоляции, — пожалуйста. А если обычный домашний пользователь, которому нужен просто умный помощник и который не задумывается о безопасности? Я бы посоветовал подождать, пока проект не созреет», — говорит эксперт.
5 важных вещей об OpenClaw
Прежде чем развертывать OpenClaw локально или в производственной среде, узнайте об этих пяти важных вещах. Вот что рекомендует Абид Али Аван.
- Относитесь к нему как к серверу, потому что он им и является. OpenClaw запускает процесс-шлюз, который соединяет каналы, инструменты и модели. Как только вы предоставляете к нему доступ по сети, начинает работать система, которая может быть атакована. Поэтому пока не убедитесь в надежности своей конфигурации, используйте только локальный режим. Заранее проверяйте журналы и последние сеансы на наличие неожиданных вызовов инструментов.
- ClawHub — это место, где большинство людей находят и устанавливают навыки OpenClaw. Самое важное, что нужно понять: навыки представляют собой исполняемый код, это не безобидные плагины. Навык может выполнять команды, получать доступ к файлам, запускать рабочие процессы и напрямую взаимодействовать с системой. Это делает их чрезвычайно мощными, но также создает реальные риски. Поэтому устанавливайте меньше навыков на начальном этапе и только от проверенных авторов, а перед запуском ознакомьтесь с документацией и репозиторием.
- Безопасность и надежность OpenClaw во многом зависят от модели, которую вы к нему подключаете. Поскольку она может использовать инструменты и совершать реальные действия, модель не просто генерирует текст. Она принимает решения, которые могут повлиять на вашу систему. Поэтому используйте модель высшего уровня, обладающую широкими возможностями для работы с инструментами.
- Самый большой реальный риск заключается не только в недостаточных навыках. Еще больший риск — раскрытие информации о наличии у вас профессиональных сертификатов. OpenClaw часто оказывается рядом с наиболее конфиденциальными данными: ключами API, токенами доступа, учетными данными SSH, сессиями браузера и файлами конфигурации. Если что-то из этих данных утечет, злоумышленнику не нужно будет взламывать модель, достаточно лишь повторно использовать ваши же учетные данные.
- Плагин Voice Call выводит OpenClaw за рамки текстового общения и переносит его в реальный мир. Он позволяет совершать исходящие телефонные звонки и вести многоходовые голосовые беседы, а это значит, что ваш агент не просто отвечает в чате, он общается с людьми напрямую. Это очень важная возможность, но она влечет более высокий уровень операционных и финансовых рисков. К голосовым инструментам всегда следует относиться как к действиям с высокими правами доступа, аналогичным платежам или администрированию.
Заключительные мысли об OpenClaw
OpenClaw — одна из самых функциональных платформ для создания агентов с открытым исходным кодом, доступных сегодня. Она может подключаться к реальным инструментам, устанавливать исполняемые навыки, автоматизировать рабочие процессы и работать в каналах обмена сообщениями и голосовой связи. Именно поэтому к ней следует относиться с осторожностью.
Если вы сведете к минимуму количество необходимых навыков, выберете надежную модель, обеспечите защиту секретной информации и будете включать плагины с высокими правами доступа только при наличии четкого контроля, это станет чрезвычайно мощной платформой для создания автономных систем. Важно помнить, что ИИ-агенты должны быть безопасными и вызывать доверие. OpenClaw может быть такой платформой, если использовать ее осознанно.