Национальный центр реагирования на компьютерные инциденты Китая (CNCERT/CC) опубликовал официальное предупреждение о . По оценке специалистов, стандартные настройки этой платформы создают условия для масштабных инцидентов, включая компрометацию учетных данных и несанкционированный доступ к корпоративным ресурсам.
Почему OpenClaw признан слабым звеном в защите
В бюллетене, опубликованном в официальном аккаунте CNCERT в WeChat, эксперты указывают, что дефолтная конфигурация OpenClaw «крайне слаба» с точки зрения защиты. Агентный ИИ по своей природе имеет доступ к внешним ресурсам, системным инструментам и иногда к внутренней инфраструктуре компании, что делает его привлекательной целью для атак.
Одним из ключевых рисков названа prompt-injection‑атака — внедрение злоумышленником скрытых инструкций в веб-страницы или другие источники данных, которые ИИ-агент автоматически обрабатывает. В результате агент может выполнять действия, противоречащие интересам пользователя: передавать конфиденциальную информацию, изменять файлы или запускать команды в инфраструктуре организации.
Отдельно подчеркивается опасность отравленных skills и плагинов — модулей, расширяющих функциональность OpenClaw. Если такие компоненты создаются или модифицируются злоумышленниками, они способны незаметно перехватывать данные, сохранять токены доступа или открывать «черный ход» в систему, формируя цепочку атак (supply chain risk для ИИ-экосистемы).
Известные уязвимости и человеческий фактор
CNCERT напоминает, что в OpenClaw уже были выявлены ряд серьезных уязвимостей, которые позволяли похищать учетные данные и расширять привилегии в системе. Такие уязвимости особенно опасны, если агент привязан к корпоративным аккаунтам в облаке, сервисам разработки или системам управления ИТ-инфраструктурой.
Эксперты также обращают внимание на человеческий фактор. Агентный ИИ способен выполнять операции с файлами и сервисами от имени пользователя. При недостаточно строгих ограничениях ошибочные или некорректные инструкции пользователя могут привести к удалению важных данных, нарушению бизнес-процессов или остановке критичных сервисов. В условиях отсутствия отлаженных процедур резервного копирования последствия таких действий могут оказаться сопоставимыми с целевой атакой.
Рекомендации CNCERT: как минимизировать риск при использовании OpenClaw
В опубликованных рекомендациях китайский CERT фактически предлагает рассматривать OpenClaw как потенциально небезопасный автоматизированный агент, которому нельзя доверять доступ ко всей инфраструктуре без многоуровневой защиты. Среди ключевых мер безопасности:
1. Изоляция в контейнере. Запуск OpenClaw в контейнеризованной среде (Docker, Podman и т.п.) с минимально необходимыми правами и строгими политиками доступа. Это снижает вероятность того, что компрометация агента приведет к захвату всей системы.
2. Закрытие порта управления от интернета. Интерфейс администрирования не должен быть доступен из публичной сети. Рекомендуется ограничить доступ VPN-туннелями, списками разрешенных IP-адресов и дополнительной аутентификацией.
3. Жесткая аутентификация и контроль доступа. Использование многофакторной аутентификации, ролевой модели доступа и принципа наименьших привилегий. Аккаунты, к которым подключен OpenClaw, должны иметь строго ограниченные права.
4. Отключение автoобновлений и контроль плагинов. Автоматические обновления и установка плагинов нередко становятся каналом для внедрения вредоносного кода. CNCERT рекомендует проводить ручной аудит обновлений и разрешать только проверенные расширения из доверенных источников.
Позиция Gartner и реакция бизнеса
Оценка китайского CERT во многом созвучна более ранним выводам аналитической компании Gartner. В начале года Gartner охарактеризовала OpenClaw как «неприемлемый риск кибербезопасности» для корпоративного сегмента и рекомендовала запускать инструмент исключительно в изолированных средах, используя одноразовые учетные данные и жестко ограничивая интеграции с продуктивной инфраструктурой.
Тем не менее, на фоне бурного интереса к агентным ИИ в Китае OpenClaw стремительно набрал популярность. Крупные облачные провайдеры стали предлагать развертывание «в один клик», а в начале марта у штаб-квартиры Tencent в Шэньчжэне, по сообщениям СМИ, выстроилась очередь из примерно тысячи человек, где инженеры компании бесплатно устанавливали OpenClaw всем желающим прямо на месте.
Ужесточение политики: запреты в госсекторе и госбанках
После публикации предупреждения CNCERT стало известно о первых практических шагах регуляторов и крупных организаций. В ряде государственных учреждений и государственных банков запрещена установка OpenClaw на рабочих компьютерах. Сотрудникам в некоторых структурах предписано сообщить руководству, если инструмент уже установлен, для проведения проверки безопасности и, при необходимости, удаления.
По данным СМИ, в отдельных случаях ограничения распространились даже на личные устройства сотрудников, подключенные к корпоративной сети. Такой подход типичен для организаций с высокой степенью зрелости кибербезопасности: любые несанкционированные ИИ-агенты рассматриваются как неконтролируемые точки входа в инфраструктуру.
Ситуация вокруг OpenClaw демонстрирует общую тенденцию: агентные ИИ‑системы становятся новым классом высокорисковых активов. Их внедрение без формализованных политик безопасности, сегментации сети, систем мониторинга и обучения персонала приводит к тем же последствиям, что и неконтролируемое использование удаленных администраторских инструментов или RPA-ботов.
Организациям, уже экспериментирующим с OpenClaw или аналогичными агентными ИИ, целесообразно провести инвентаризацию таких решений, ограничить их привилегии, внедрить контейнеризацию и сетевую сегментацию, а также разработать четкие правила использования. Компании, которые только планируют интеграцию ИИ-агентов, должны включать оценку киберрисков и требования к безопасной архитектуре в ранние стадии проектов. Такой подход позволяет использовать преимущества автоматизации и ИИ, не превращая новейшие технологии в источник критических инцидентов безопасности.
