AI

OpenClaw и безопасность: как не стать жертвой своего AI-агента

135 000 открытых инстансов, каждый четвёртый навык с уязвимостями, prompt injection через обычное письмо. Разбираю угрозы OpenClaw и даю чеклист из 7 правил.

Pavel Matveev

Pavel Matveev

5 min read
OpenClaw и безопасность: как не стать жертвой своего AI-агента

TL;DR: 135 000 открытых OpenClaw-инстансов в сети, каждый четвёртый навык из комьюнити содержит уязвимости, а один исследователь через prompt injection за 5 минут вытащил 5 писем из чужой почты. Звучит как сценарий для Netflix, но это реальность февраля 2026. Ниже — конкретные угрозы и чеклист из 7 правил, чтобы пользоваться OpenClaw и не проснуться с утечкой.

Масштаб проблемы: цифры, от которых неуютно

Я начал копаться в теме после того, как Cisco выпустили отчёт с заголовком "Personal AI Agents like OpenClaw Are a Security Nightmare". Не самая обнадёживающая формулировка от компании, которая занимается сетевой безопасностью лет тридцать.

Вот что мы имеем на сегодня:

  • 135 000+ OpenClaw-инстансов обнаружены в открытом доступе без какой-либо аутентификации
  • 26% community skills содержат хотя бы одну уязвимость — это из аудита Cisco Security Team
  • 230+ вредоносных навыков загружены на ClawHub только за первую неделю февраля
  • 15% community skills содержат вредоносные инструкции

Hudson Rock обнаружили, что через публично доступные панели можно добраться до API-ключей, OAuth-секретов и полной истории переписки с агентом. Это не теоретическая угроза — это уже происходит.

Palo Alto Networks в своём блоге пишут, что ситуация с OpenClaw "may signal the next AI crisis". Я не склонен к панике, но когда три крупнейших вендора безопасности говорят одно и то же — стоит прислушаться.

Три главных вектора атак

Prompt injection: когда письмо атакует твоего агента

Самый элегантный и пугающий вектор. Исследователь продемонстрировал на WIRED, как это работает: отправляешь обычное письмо с замаскированными инструкциями, агент его читает, и — сюрприз — начинает выполнять команды атакующего. В конкретном случае агент переслал 5 писем из ящика жертвы атакующему за 5 минут. Пять минут!

Ещё веселее: в эксперименте WIRED агент OpenClaw начал отправлять фишинговые письма самому автору статьи. То есть твой собственный AI-помощник может начать фишить тебя же. Звучит как плохая комедия, но это задокументированный случай.

Проблема в том, что OpenClaw по умолчанию доверяет всему контенту, который обрабатывает. Нет чёткого разделения между «данные» и «инструкции» — классическая проблема injection-атак, только на стероидах.

Supply chain: навыки из ClawHub как троянский конь

ClawHub — это что-то вроде маркетплейса навыков для OpenClaw. И вот что они прямо пишут в документации:

"All code downloaded from the library will be treated as trusted code — there is no moderation process"

Нет модерации. Вообще. Ты ставишь навык, и он получает доступ ко всему, что имеет твой агент. По данным Cisco, 26% этих навыков содержат уязвимости, а 15% — целенаправленно вредоносные инструкции, согласно обсуждениям на Reddit.

За первую неделю февраля на ClawHub залили больше 230 вредоносных навыков. Кто-то очень старается.

Появились и совсем креативные схемы: фейковый VS Code extension с RAT (remote access trojan) внутри, фейковые токены $CLAWD и $MOLTBOT на Solana. Кто-то создал целую экосистему скама вокруг одного open-source проекта.

Открытые порты: 135 000 приглашений для хакеров

Тут всё просто и грустно. CVE-2026-25253, оценка CVSS 8.8 — это cross-site WebSocket hijacking, который позволяет получить удалённое выполнение кода одним кликом. Один клик — и у атакующего полный доступ к твоей системе.

Уязвимость пропатчили в версии v2026.1.29, но по данным Bitsight, 135 000+ инстансов торчат в сеть без аутентификации. Сколько из них обновлены? Я думаю, что далеко не все.

А ещё есть история с Moltbook: утечка через открытый Supabase, в результате которой в сеть попали 1.5 миллиона API-ключей и 35 000+ email-адресов. Это не OpenClaw напрямую, но это экосистема, и она вся пронизана такими проблемами.

Чеклист: 7 правил безопасной настройки OpenClaw

Ладно, хватит страшилок. Если ты всё-таки решил использовать OpenClaw (а я понимаю — штука реально полезная), вот что нужно сделать минимально.

1. Никогда не открывай OpenClaw в интернет

Запускай только на localhost. Если нужен удалённый доступ — только через VPN или SSH-туннель. 135 000 открытых инстансов — это люди, которые не сделали даже этого.

2. Обнови до последней версии

CVE-2026-25253 пропатчен в v2026.1.29. Проверь свою версию прямо сейчас. Серьёзно, прямо сейчас.

3. Не ставь навыки из ClawHub без аудита кода

Да, я знаю — это неудобно. Но «нет модерации» значит «нет модерации». Открой код навыка, посмотри, что он делает, куда отправляет данные. Если не можешь прочитать код — не ставь.

4. Ограничь права агента

Не давай OpenClaw доступ ко всей почте, ко всем файлам, ко всем API. Принцип минимальных привилегий — это не паранойя, это гигиена. Если агенту нужен доступ к календарю — не давай ему ещё и почту.

5. Запусти в изолированном контейнере

Docker, Podman — что угодно. Если агент скомпрометирован, пусть ущерб останется внутри контейнера, а не расползётся по всей системе.

6. Мониторь исходящий трафик

Если твой AI-агент внезапно начал отправлять запросы на неизвестные серверы — это красный флаг. Настрой простой мониторинг сетевой активности. Можно даже через Little Snitch на Mac.

7. Отдельные API-ключи для OpenClaw

Создай отдельные ключи с минимальными правами. Не используй свои основные API-ключи или OAuth-токены. Если произойдёт утечка — отзовёшь один ключ, а не перенастроишь всё.

Что делают разработчики OpenClaw

Честно? Не уверен, что достаточно. После CVE-2026-25253 патч выпустили быстро, это плюс. Но системных изменений в архитектуре безопасности пока мало.

ClawHub до сих пор работает без модерации навыков. Нет песочницы по умолчанию. Нет предупреждений при установке навыков из непроверенных источников.

По мне — это как магазин приложений, где любой может загрузить что угодно без проверки. Мы уже проходили это с ранними Android-маркетплейсами. Заканчивалось всегда одинаково.

Стоит ли вообще ставить OpenClaw?

Я не буду говорить «нет» категорично. OpenClaw — мощный инструмент, и я понимаю, зачем люди его используют. Автоматизация, AI-агенты, локальный контроль — всё это реально привлекательно.

Но. Kaspersky прямо пишут: "handing your data over to OpenClaw is at best unsafe, at worst utterly reckless". Google Cloud VP Heather Adkins на конференции сказала коротко: "Don't run Clawdbot". Это не ноунеймы из Twitter — это люди, которые отвечают за безопасность крупнейших компаний.

Мой взгляд: если ты готов выполнить все 7 пунктов из чеклиста выше, если понимаешь риски и можешь провести аудит навыков — пожалуйста. Если планируешь просто поставить и забыть — лучше подожди, пока экосистема повзрослеет. Или посмотри на более контролируемые альтернативы — тот же Claude Code работает в sandbox по умолчанию и имеет систему разрешений, которая не позволяет агенту делать что попало.

FAQ

Можно ли использовать OpenClaw безопасно? Можно, но это требует усилий. Минимум: запуск только на localhost, последняя версия с патчами, никаких навыков из ClawHub без проверки кода, изоляция в контейнере и отдельные API-ключи. Если всё это звучит как слишком много работы — значит, тебе пока не стоит его ставить.

Чем опасен prompt injection для AI-агентов? AI-агент обрабатывает входящий контент (письма, сообщения, файлы) и не отличает данные от инструкций. Атакующий может спрятать команды в обычном письме, и агент выполнит их — от пересылки переписки до загрузки вредоносного кода. По данным WIRED, этот вектор уже эксплуатируется в реальных атаках.

Что такое CVE-2026-25253 и затрагивает ли она меня? Это уязвимость cross-site WebSocket hijacking с оценкой CVSS 8.8, позволяющая удалённое выполнение кода. Если у тебя OpenClaw версии ниже v2026.1.29 — ты уязвим. Обнови немедленно. Если твой инстанс доступен из интернета — ты уязвим вдвойне.

Какие альтернативы OpenClaw безопаснее? Если тебе нужен AI-агент для разработки, Claude Code работает в песочнице по умолчанию и имеет систему разрешений с тремя уровнями. ChatGPT с плагинами проходит модерацию OpenAI. Для автоматизации n8n или Make дают контроль над каждым шагом. Общий принцип: чем больше контроля над правами агента — тем безопаснее.

Что ещё почитать