OpenClaw (MoltBot): что это за AI-агент и стоит ли ставить в 2026
Open-source AI-агент с 175 000 звёзд на GitHub, который живёт в твоих мессенджерах и делает всё сам. Разбираю, что умеет OpenClaw, сколько стоит и почему эксперты по безопасности бьют тревогу.
TL;DR: OpenClaw (бывший Clawdbot, бывший MoltBot) — это open-source AI-агент, который живёт в твоих мессенджерах и получает полный доступ к системе. За две недели набрал 175 000 звёзд на GitHub. Умеет торговаться за машину, оспаривать страховку и автоматизировать CI/CD. Но 26% навыков содержат уязвимости, а 135 000 инстансов торчат в интернет без защиты. Крутая штука, если понимаешь риски.
Что такое OpenClaw и почему у него три названия
Если ты слышал про Clawdbot, потом про MoltBot, а теперь про OpenClaw — это один и тот же проект. История переименований сама по себе показательная.
Создатель — Peter Steinberger, австрийский разработчик и основатель PSPDFKit (это крупная компания по работе с PDF, если не слышал). В начале января 2026 года он выложил на GitHub проект под названием Clawdbot. Идея простая: автономный AI-агент, который работает через мессенджеры и делает за тебя рутину.
Проект взлетел моментально. Но 27 января 2026 года пришло письмо от юристов Anthropic — название Clawdbot слишком похоже на Claude. Steinberger переименовал проект в MoltBot. А через три дня, 30 января, переименовал ещё раз — в OpenClaw. Видимо, MoltBot не зашёл сообществу.
Вот такая вот история. Три названия за месяц, 175 000 звёзд на GitHub, MIT-лицензия. По темпам роста это один из самых быстрорастущих open-source проектов в истории — по данным GitTrends, быстрее набирали только Linux и Node.js в своё время.
Как работает OpenClaw?
Архитектура OpenClaw на удивление прямолинейная. Я бы описал её так: это прослойка между LLM и твоей системой, которая общается через мессенджеры.
Мессенджеры как интерфейс
OpenClaw подключается к Telegram, WhatsApp, Slack, Discord, Signal и даже iMessage. Ты пишешь ему сообщение — он выполняет задачу. Никаких отдельных приложений или веб-интерфейсов. Мне это нравится как концепция, хотя на практике не всё так гладко.
Полный доступ к системе
Вот тут начинается самое интересное (и пугающее). OpenClaw получает доступ к:
- Shell-командам на твоём сервере
- Браузеру через headless Chrome
- Файловой системе
- Календарю
Фактически ты даёшь AI-агенту ключи от всего. Об этом поговорим в разделе про безопасность.
Heartbeat — агент, который не спит
Одна из самых необычных фич — Heartbeat. OpenClaw будит себя каждые 30 минут и проверяет, не нужно ли что-то сделать. Получил письмо от клиента? Агент может ответить сам, не дожидаясь твоей команды. Подошло время события в календаре? Он напомнит или подготовит материалы.
Звучит как магия, но на практике это значит, что агент постоянно жрёт API-токены. Об этом тоже ниже.
Память и навыки
Память хранится в обычных Markdown и YAML файлах. Не самое элегантное решение, но зато прозрачное — ты всегда можешь посмотреть, что агент о тебе «помнит», и отредактировать это руками.
Навыки (skills) — это что-то вроде плагинов. На ClawHub уже больше 700 community skills. От интеграции с Jira до заказа пиццы. Но с навыками есть серьёзные проблемы с безопасностью — об этом расскажу отдельно.
Model-agnostic
OpenClaw работает с любой LLM: Claude, GPT, DeepSeek, Gemini, локальные модели через Ollama. Мне кажется, это правильный подход — не привязываться к одному провайдеру. Особенно учитывая, как быстро меняется рынок: буквально недавно вышел GPT-5.3 Codex, а до этого — Claude Opus 4.6. Возможность переключаться между моделями — это реальное преимущество.
Что реально умеет OpenClaw
Теория — это хорошо, но что с практикой? Вот реальные кейсы, которые гуляют по сети.
Торг за автомобиль
Один из самых обсуждаемых кейсов: пользователь настроил OpenClaw на переговоры с автодилером через email. Агент вёл переписку две недели, использовал данные о рыночных ценах, находил аналогичные предложения и в итоге выбил скидку $4 200. Forbes написал об этом как о примере нового поколения AI-агентов.
Не знаю, насколько это типичный результат. Думаю, многое зависит от дилера и модели авто. Но сама идея впечатляет.
Оспаривание страховой
Другой кейс — пользователь натравил OpenClaw на страховую компанию, которая отказала в выплате. Агент собрал документы, нашёл прецеденты в открытых базах судебных решений и составил аргументированную претензию. Страховая пересмотрела решение.
Тут я бы был осторожен. AI-агент не юрист, и полагаться на него в юридических вопросах целиком — так себе идея. Но как помощник для сбора информации — почему бы и нет.
Автоматизация CI/CD
Для разработчиков, пожалуй, самый полезный кейс. OpenClaw может мониторить пайплайны, анализировать ошибки сборки, предлагать фиксы и даже создавать PR с исправлениями. Вот это, на мой взгляд, реально ценная штука — при условии, что ты настроил правильные ограничения доступа.
Сколько стоит
OpenClaw бесплатный и open-source. Но бесплатность обманчива — ты платишь за API-вызовы к LLM.
| Сценарий | Примерная стоимость/мес | Что входит |
|---|---|---|
| Лёгкое использование | $30–50 | Пара задач в день, Heartbeat выключен |
| Активное использование | $100–200 | 10–20 задач в день, Heartbeat каждые 30 мин |
| Полная автоматизация | $200–400 | Всё включено, несколько LLM, постоянный Heartbeat |
Суммы зависят от модели. Claude и GPT дороже, DeepSeek и локальные модели через Ollama — дешевле. Heartbeat — главный пожиратель токенов: каждые 30 минут агент «просыпается», анализирует контекст и решает, нужно ли действовать. Это сотни тысяч токенов в день.
Для сравнения, managed-хостинг через Clawezy стоит от $49/мес, но API оплачиваешь отдельно. Думаю, для большинства людей реалистичный бюджет — $100–150 в месяц.
Насколько безопасен OpenClaw?
Безопасность — слон в комнате любого разговора про OpenClaw. Давай поговорим о том, о чём все думают, но не все говорят вслух.
135 000 открытых инстансов
По данным Cisco Talos, на февраль 2026 года в интернете обнаружено более 135 000 инстансов OpenClaw с дефолтными настройками безопасности. Это значит — без аутентификации, с открытым API, доступные кому угодно. Вдумайся: 135 тысяч серверов, где AI-агент имеет полный доступ к shell, файлам и email.
CVE-2026-25253
В начале февраля 2026 была опубликована критическая уязвимость CVE-2026-25253 с оценкой CVSS 8.8 из 10. Через специально сформированный навык злоумышленник мог получить удалённое выполнение кода на сервере с OpenClaw. Патч вышел быстро, но сколько из тех 135 тысяч инстансов обновились?
26% навыков с уязвимостями
Исследователи из нескольких security-компаний проанализировали навыки на ClawHub. Результат: 26% содержат уязвимости разной степени тяжести. От утечки API-ключей до полноценных бэкдоров. The Verge назвал это «кошмаром безопасности», и я не думаю, что это преувеличение.
Что говорят эксперты
Kaspersky, Cisco и VP по безопасности Google — все прямо предупреждают о рисках использования OpenClaw. Основная проблема даже не в конкретных уязвимостях, а в самой архитектуре: ты даёшь AI-агенту полный доступ к системе и надеешься, что всё будет хорошо.
Я не говорю, что OpenClaw нельзя использовать. Но если ставишь — выделяй отдельную машину (лучше виртуалку), не храни на ней ничего критичного и обязательно настрой файрвол. Это не тот софт, который ставишь на рабочий ноутбук. Тема безопасности AI-агентов вообще сейчас очень горячая — я уже писал про разрешения и sandbox в Claude Code, и подходы к изоляции там более зрелые.
Какие сервисы и инструменты есть для OpenClaw?
За пару недель вокруг проекта выросла целая экосистема:
- ClawHub — маркетплейс навыков, 700+ штук. Аналог npm, но для AI-скиллов
- Clawezy — managed hosting, если не хочешь возиться с настройкой. От $49/мес
- GoClaw — мобильное приложение для управления агентом с телефона
- MoltBook — соцсеть ботов, где агенты могут взаимодействовать друг с другом. Звучит безумно, но это реально существует
Скорость появления этих проектов впечатляет. Но она же и настораживает — когда всё растёт так быстро, качество и безопасность обычно страдают.
Как установить OpenClaw?
Честно скажу: установка OpenClaw — не для слабонервных, это точно не «скачал и работает». Тебе понадобятся:
- Сервер с Linux или macOS (Windows — экспериментально)
- Docker или нативная установка через CLI
- API-ключи от выбранной LLM (Claude, GPT, и т.д.)
- Настройка подключений к мессенджерам (Telegram Bot API, WhatsApp Business API и т.д.)
- Конфигурация безопасности (которую большинство, судя по 135К открытых инстансов, пропускает)
На всё про всё у меня ушло около двух часов, и я не новичок в CLI. Для людей без технического бэкграунда — это практически нереально без Clawezy или подобного сервиса.
Кому подойдёт OpenClaw, а кому нет?
Подойдёт, если:
- Ты разработчик или DevOps и хочешь автоматизировать рутину
- У тебя есть отдельный сервер или VPS, который не жалко
- Ты готов тратить $100+ в месяц на API
- Тебе интересны AI-агенты и ты понимаешь риски
- Ты хочешь model-agnostic решение без привязки к одному провайдеру
Не подойдёт, если:
- Ты хочешь «поставил и забыл» — тут так не работает
- Безопасность для тебя на первом месте, а времени на настройку нет
- Бюджет ограничен — даже $30/мес на API это минимум
- Ты не работаешь с CLI — без командной строки не обойтись
- Тебе нужен проверенный enterprise-инструмент с SLA
Вообще, если тебе интересна тема AI-агентов, но OpenClaw кажется слишком рискованным — посмотри на Agent Teams в Claude Code. Там подход более контролируемый, хотя и менее автономный. А если хочешь понять, как агенты работают в open-source экосистеме — есть интересный обзор Kimi K2.5 с роем из 100 агентов.
FAQ
OpenClaw бесплатный?
Сам OpenClaw — да, это open-source под MIT-лицензией. Но ты платишь за API-вызовы к языковым моделям. При активном использовании это $100–200 в месяц. Если использовать локальные модели через Ollama, расходы на API нулевые, но нужно мощное железо — минимум 16 ГБ RAM и GPU.
Безопасно ли ставить OpenClaw на рабочий компьютер?
Короткий ответ — нет. OpenClaw получает полный доступ к системе: shell, файлы, браузер. Эксперты по безопасности из Kaspersky и Cisco рекомендуют использовать его только на изолированных серверах. Выделенная виртуалка без доступа к критичным данным — минимум, который стоит обеспечить.
Чем OpenClaw отличается от ChatGPT или Claude?
ChatGPT и Claude — это чат-боты, которые отвечают на вопросы. OpenClaw — автономный агент, который действует сам. Он может проактивно проверять почту, вести переговоры, мониторить серверы. Ключевое отличие — Heartbeat: агент «просыпается» каждые 30 минут и действует без твоего запроса.
Можно ли использовать OpenClaw с локальными LLM?
Да, OpenClaw поддерживает Ollama и другие локальные модели. Это убирает расходы на API и повышает приватность, потому что данные не уходят на внешние серверы. Минус — нужен мощный компьютер и качество ответов обычно ниже, чем у Claude или GPT.
Почему OpenClaw так часто переименовывали?
Проект стартовал как Clawdbot в январе 2026. 27 января юристы Anthropic потребовали сменить название из-за сходства с «Claude». Steinberger переименовал в MoltBot, а через три дня — в OpenClaw. Текущее название, похоже, закрепилось. MIT-лицензия и открытый код при этом не менялись.
Что ещё почитать
- Claude Opus 4.6 — обзор самой умной модели Anthropic — OpenClaw поддерживает Claude как одну из LLM, в обзоре подробности о модели
- Agent Teams в Claude Code — как запустить команду AI-агентов — альтернативный подход к AI-агентам с более контролируемой архитектурой
- Kimi K2.5 — китайский open-source с роем из 100 агентов — ещё один open-source проект в мире AI-агентов
- Разрешения в Claude Code — allow, deny и sandbox — как безопасность работает у более зрелых AI-инструментов