Эксперты компании SecurityScorecard сообщили о масштабной проблеме: более 220 000 инстансов OpenClaw, запущенных пользователями по всему миру, оказались доступными напрямую из интернета. Учитывая функциональность таких ИИ-агентов и глубину их интеграции в системы, подобная экспозиция создает значимый новый вектор атак как для частных пользователей, так и для организаций.
Что такое OpenClaw и почему он так быстро стал популярным
OpenClaw — это опенсорсный ИИ-ассистент локального развертывания, который интегрируется с популярными мессенджерами, включая WhatsApp, Telegram, Slack и Discord. Он может выполнять задачи по расписанию, автоматически обрабатывать запросы, взаимодействовать с другими агентами и управлять различными сервисами на машине пользователя.
С момента запуска в ноябре 2025 года проект стремительно набрал популярность: репозиторий OpenClaw собрал почти 200 000 звезд на GitHub, а вокруг него сформировалась целая экосистема. Автор проекта, Питер Штайнбергер (Peter Steinberger), создавал его в ускоренном режиме, фактически без формализованного процесса безопасной разработки и полноценного тестирования.
Параллельно появились связанные проекты: Moltbook — «социальная сеть» для ИИ-агентов OpenClaw, где они могут публиковать посты и взаимодействовать друг с другом, и ClawHub — платформа навыков (skills), расширяющих возможности ассистента.
Уже выявленные проблемы безопасности экосистемы OpenClaw
Ещё до публикации последнего отчета SecurityScorecard OpenClaw успел привлечь внимание специалистов по кибербезопасности. В официальном репозитории ClawHub были обнаружены сотни потенциально вредоносных или скомпрометированных навыков. Эксперты показали, что через такие skills можно заставить ИИ-агента раскрывать API-ключи, данные банковских карт и персональную информацию пользователей.
Кроме того, в самом OpenClaw были найдены как минимум три серьезные уязвимости, связанные с безопасностью выполнения кода и контролем доступа. В совокупности это превращает экосистему OpenClaw в привлекательную цель для злоумышленников, особенно с учетом масштабов ее распространения.
220 000 открытых инстансов: что обнаружила SecurityScorecard
По данным SecurityScorecard, десятки тысяч инстансов OpenClaw свободно доступны из глобальной сети. При запуске live-дашборда исследователи сообщали примерно о 135 000 экспонированных инстансов, однако спустя короткое время их количество превысило 220 000, и счетчик продолжает расти.
Фактически это означает, что любой желающий, обнаружив такой экземпляр OpenClaw в интернете, может попытаться взаимодействовать с ним напрямую. С учетом того, что агент обладает расширенными привилегиями в системе пользователя, компрометация одного инстанса равна компрометации всего окружения, которое он «видит».
Ключевая техническая проблема: привязка к 0.0.0.0 и слабый контроль доступа
Настройки по умолчанию как источник риска
Корень масштабной экспозиции — в настройках по умолчанию. OpenClaw по стандартной конфигурации привязывается к адресу 0.0.0.0:18789, то есть слушает подключения на всех сетевых интерфейсах, включая публичный. Для подобного инструмента более безопасным вариантом была бы привязка к 127.0.0.1 (localhost), при которой доступ возможен только локально с этой же машины.
В сочетании с «удобным» процессом деплоя, отсутствием строгой аутентификации и слабым контролем доступа это превращает развертывание OpenClaw в массовую проблему экспонированных сервисов. ИИ-агенты, изначально задуманные как помощники, превращаются в удобную точку входа для атакующих.
Риски, сравнимые с удаленным пользователем в системе
Исследователи сравнивают ситуацию с тем, будто пользователю предлагается «пустить постороннего за свой компьютер» для помощи с задачами. Пока владелец системы внимательно контролирует действия агента, он может приносить пользу. Но как только контроль ослабевает, появляется риск, что агент начнет выполнять команды, поступающие от любого источника, в том числе от злоумышленника.
Поскольку OpenClaw часто имеет доступ к хранилищам паролей, файловой системе, мессенджерам, браузеру и кешу с личными данными, успешная атака на инстанс позволяет атакующему получить практически полный обзор пользовательской или даже корпоративной среды.
Угроза для компаний: от личных помощников к корпоративному риску
Особенно тревожным выглядит тот факт, что значительная часть обнаруженных инстансов связана с корпоративными IP-адресами. Это означает, что OpenClaw используется не только энтузиастами, но и в рабочих средах — иногда без формальной оценки рисков и без участия ИБ-подразделений.
В таком сценарии атакующий может использовать скомпрометированный ИИ-агент как точку опоры для дальнейшего продвижения по сети (lateral movement), кражи конфиденциальных данных, установки вымогательского ПО или проведения таргетированных фишинговых кампаний от имени внутреннего пользователя.
Рекомендации по защите ИИ-агентов OpenClaw
Эксперты SecurityScorecard настоятельно рекомендуют всем пользователям OpenClaw немедленно изменить привязку сервиса на localhost, ограничить доступ с внешних адресов и применить дополнительные меры защиты: аутентификацию, фильтрацию по IP, использование VPN и сегментацию сети.
Однако проблема не сводится только к неправильной конфигурации. По самой своей природе платформа OpenClaw предназначена для внесения изменений в систему и открытия сервисов во внешнюю сеть. Поэтому специалисты подчеркивают: таким ИИ-агентам нельзя доверять безоговорочно, особенно в корпоративной среде. Рекомендуется:
- развертывать OpenClaw на отдельных машинах или в виртуальных средах с жесткими ограничениями доступа;
- применять принцип минимально необходимых привилегий и изолировать агента от критичных систем;
- регулярно проводить аудит экспонированных портов и сервисов, отслеживать аномальную активность;
- оценивать и тестировать любые навыки из ClawHub и аналогичных площадок, прежде чем использовать их в продуктивной среде.
Массовая экспозиция OpenClaw демонстрирует, что ИИ-агенты становятся новой крупной поверхностью атаки. Разработчикам необходимо изначально закладывать принципы «безопасности по умолчанию», а организациям — относиться к таким ассистентам как к полноправным участникам инфраструктуры с потенциально неизвестным уровнем доверия. Пользователям стоит не только следовать базовым рекомендациям по настройке, но и системно повышать осведомленность о рисках ИИ, регулярно пересматривать конфигурации и не допускать ситуации, когда «умный помощник» незаметно превращается в удобный инструмент для злоумышленников.
