Момент Икара для автономных агентов (autonomous agents)

Обещание по-настоящему автономного ИИ-ассистента (autonomous AI assistant) — такого, который живёт на вашей машине, управляет календарём, ведёт переписку по электронной почте и бронирует рейсы — фактически воплотилось в проекте OpenClaw. Ранее известный как Clawdbot и Moltbot, этот проект с открытым исходным кодом побил рекорды роста на GitHub, собрав более 149 000 звёзд всего за несколько месяцев. Он обещал стать «руками» для больших языковых моделей (large language models, LLMs), предоставляя им возможность выполнять код и взаимодействовать с реальным миром от имени своих пользователей.

Однако это обещание жёстко столкнулось с реальностями кибербезопасности. По состоянию на 2 февраля 2026 года сообщество ИИ столкнулось с критическим кризисом безопасности. OpenClaw содержит серьёзные уязвимости, позволяющие злоумышленникам захватить полный контроль над компьютером пользователя через одну единственную вредоносную ссылку. Эксперты по безопасности называют это «кошмарным сценарием» для локального исполнения ИИ, подчёркивая разрушительный логический дефект, зарегистрированный как CVE-2026-25253.

Для команды Creati.ai этот инцидент стал наглядным напоминанием: стремление дать агентам «руки» часто обходится без необходимых «перчаток» для безопасной работы с данными. Хотя полезность OpenClaw неоспорима, его архитектура подвергла тысяч ранних пользователей риску выполнения удалённого кода (remote code execution, RCE), вывода данных и появлению растущей экосистемы «навыков» (skills), заражённых вредоносным ПО.

От "Moltbot" к магниту для вредоносного ПО

Траектория развития OpenClaw была поистине хаотичной. Изначально выпущенный как Clawdbot австрийским разработчиком Peter Steinberger, проект был вынужден сменить название в результате споров о товарных знаках с Anthropic. Он недолго работал под именем Moltbot, прежде чем устоялся как OpenClaw. Несмотря на кризис идентичности, основное ценностное предложение оставалось соблазнительным: агент, который запускается локально, владеет своими данными и взаимодействует с популярными мессенджерами, такими как Telegram, Signal и WhatsApp, выполняя сложные задачи.

В отличие от облачных SaaS-ассистентов, OpenClaw запускается на инфраструктуре пользователя — обычно на Mac mini или домашнем сервере. Этот подход «локально в первую очередь» (local-first) позиционировался как выигрыш с точки зрения конфиденциальности. Ирония в том, что он стал ахиллесовой пятой проекта. Предоставляя агенту высокоуровневые системные привилегии — включая доступ к shell и возможность чтения/записи файловой системы — без надёжной песочницы (sandbox), пользователи непреднамеренно превратили свои машины в открытые цели.

Анатомия эксплойта CVE-2026-25253

Уязвимость, обнаруженная Mav Levin из DepthFirst, демонстрирует, как логические ошибки могут быть опаснее багов памяти. Оценённая по шкале CVSS в 8,8, CVE-2026-25253 описывается как «уязвимость вывода токенов, приводящая к полному компромету шлюза».

Кошмар в один клик

Ошибка кроется в том, как Control UI OpenClaw обрабатывает входящие соединения. Приложение было спроектировано так, чтобы принимать параметр gatewayUrl через строку запроса в URL. Критично то, что этому параметру доверяли без валидации.

Когда пользователь кликает по специально сформированной ссылке — возможно, замаскированной под «крутой новый навык агента» или общий пост на Moltbook — интерфейс OpenClaw автоматически пытается установить WebSocket-соединение с сервером, указанным в этом URL. При этом в полезной нагрузке соединения передаётся токен аутентификации пользователя (authentication token).

Злоумышленнику достаточно разместить вредоносный WebSocket-сервер и заманить пользователя в клик по ссылке, указывающей на него. После установления соединения злоумышленник перехватывает токен аутентификации. Обладая этим токеном, он может притвориться локальным шлюзом пользователя. Дальше «агент» фактически начинает работать на злоумышленника: они могут изменить конфигурацию агента, отключить оставшиеся механизмы песочницы (sandboxing) и вызвать привилегированные действия. Так как OpenClaw задуман для запуска shell-команд, чтобы быть «полезным», злоумышленник получает 1-click RCE (RCE в один клик), приобретая возможность выполнять произвольные команды на машине жертвы.

Steinberger и команда поддержки выпустили исправление в версии 2026.1.29, но децентрализованный характер проекта означает, что тысячи экземпляров остаются непатчеными и уязвимыми.

Явление "Moltbook": поле для ботнетов?

Усугубляет провал безопасности появление сети Moltbook, социальной сети, созданной исключительно для ИИ-агентов. Называемая «главной страницей интернета агентов», она ограничивает право публиковать контент только проверенными экземплярами OpenClaw. Хотя она задумывалась как эксперимент в области взаимодействия ИИ с ИИ (включая появление странной пародийной религии «Crustafarianism»), она быстро выродилась в вектор распространения вредоносного ПО.

Поскольку агенты на Moltbook автоматически читают и обрабатывают контент для «социализации», они уязвимы к внедрению подсказок (prompt injection). Исследователи по безопасности показали, что в злонамеренных постах на Moltbook могут содержаться скрытые инструкции — текст, часто невидимый для людей, но читаемый большими языковыми моделями (LLMs) — которые приказывают читающему агенту скачать и выполнить вредоносный код.

Это привело к атаке на цепочку поставок реестра «навыков» (supply chain attack). Подобно атакам на экосистемы NPM или PyPI в прошлом, злоумышленники публикуют «навыки» (skills — плагины, расширяющие возможности агента), которые содержат бэкдоры. Агент, просматривающий Moltbook, может быть обманут и установить «Навык проверки погоды» (Weather Checker), который незаметно открывает обратную оболочку (reverse shell) к серверу командования и управления.

Безопасность против удобства: позиция Creati.ai

Инцидент с OpenClaw иллюстрирует «Летальную Триаду» рисков безопасности ИИ:

1. Доступ к чувствительным данным: агент имеет доступ к электронным письмам, календарям и файлам.
2. Внешнее воздействие: агент обрабатывает недоверенный контент из сети и мессенджеров.
3. Внешний вывод: агент может общаться вовне и выполнять код.

Когда эти три фактора сочетаются без строгой изоляции, катастрофа неминуема. Традиционные приложения полагаются на ОС для принудительного контроля прав (модель «пользователь»). Однако OpenClaw работает как пользователь (as the user), обходя эти проверки. Если агента обманут, ОС воспринимает действия как легитимные действия легитимного пользователя.

Сравнение архитектур агентов

Чтобы понять серьёзность, мы должны сравнить подход OpenClaw с архитектурами защищённых корпоративных агентов.

Agent Security Architecture Comparison

Немедленные шаги для пользователей OpenClaw

Если вы запускаете экземпляр OpenClaw (или Clawdbot/Moltbot), Creati.ai рекомендует немедленно принять меры по защите вашей инфраструктуры.

1. Обновите немедленно: Убедитесь, что вы используете версию 2026.1.29 или выше. Эта версия удаляет логику авто-подключения для параметра gatewayUrl.
2. Поменяйте креденшалы: Если вы когда-либо кликали по ссылке, пока агент был запущен, предполагайте, что ваш токен шлюза скомпрометирован. Перегенерируйте ваши токены аутентификации и API-ключи (OpenAI, Anthropic и т.д.).
3. Изолируйте окружение: Не запускайте OpenClaw на основной рабочей машине. Используйте выделенную виртуальную машину (VM) или контейнер, не имеющий доступа к вашим личным файлам или основной домашней сети.
4. Аудит установленных навыков: Проверьте каталог skills. Удалите любые сторонние навыки (skills), которые не были аудированы или которые были установлены автоматически через взаимодействия Moltbook.
5. Отключите WebSockets: Если вам не нужен удалённый контроль через мессенджеры, полностью отключите WebSocket-шлюз в конфигурационном файле.

Эра автономных агентов наступила, но OpenClaw служит болезненным уроком в компромиссе между удобством и безопасностью. Пока архитектура не начнёт относиться к «действиям агента» с той же долей подозрительности, что и к «недоверенному коду», пользователи должны оставаться бдительными. «Руки» ИИ мощны, но без наручников они могут легко обернуться против своих хозяев.