Національний центр реагування на комп’ютерні інциденти Китаю (CNCERT/CC) опублікував офіційне попередження про високі ризики кібербезпеки при використанні агентного ШІ-інструмента OpenClaw. Регулятор підкреслює, що типова конфігурація цієї платформи створює умови для масштабних інцидентів — від витоку облікових даних до несанкціонованого доступу до критичних корпоративних систем.
Чому агентний ШІ OpenClaw вважають слабкою ланкою захисту
У бюлетені, оприлюдненому в офіційному акаунті CNCERT у WeChat, OpenClaw описується як рішення з «надзвичайно слабкими налаштуваннями безпеки за замовчуванням». На відміну від звичайних чат-ботів, агентний ШІ має технічну можливість взаємодіяти з зовнішніми сервісами, інструментами операційної системи або навіть з внутрішніми ресурсами компанії. Це фактично перетворює його на напівавтоматизованого «віддаленого адміністратора», що робить платформу привабливою ціллю для атак.
Ключовою загрозою названі prompt-injection атаки. Сутність підходу полягає у впровадженні прихованих інструкцій у веб-сторінки, документи чи інші джерела даних, які агент автоматично аналізує. Якщо ШІ-агент не має адекватних механізмів фільтрації, він може виконати зловмисні інструкції: передати конфіденційні дані третім сторонам, модифікувати файли або запустити команди у виробничій інфраструктурі.
Отруєні skills і плагіни: supply chain ризики для ІІ-екосистеми
Окремий блок попередження CNCERT присвячений ризикам, пов’язаним з skills, плагінами та іншими розширеннями OpenClaw. Ці модулі розширюють функціональність агента, але водночас формують класичний supply chain ризик для ІІ-екосистеми: достатньо, щоб один компонент був створений або модифікований зловмисником.
Такі «отруєні» розширення можуть непомітно перехоплювати потоки даних, зберігати токени доступу, викликати зовнішні API без відома користувача або відкривати приховані канали в інфраструктуру. У результаті скомпрометований модуль стає відправною точкою для подальшого розширення доступу, подібно до атак на ланцюги постачання програмного забезпечення, які вже неодноразово ставали причиною масштабних інцидентів у різних країнах.
Відомі вразливості OpenClaw та роль людського фактора
CNCERT нагадує, що в OpenClaw вже фіксувалися серйозні технічні вразливості, які дозволяли викрадати облікові записи, ескалувати привілеї та отримувати ширший доступ до системи, ніж передбачалося. Особливо небезпечна ця комбінація, коли агент прив’язаний до корпоративних акаунтів у хмарних платформах, системах розробки або інструментах управління ІТ-інфраструктурою.
Додатковий вимір ризику становить людський фактор. Агентний ШІ виконує операції від імені користувача: працює з файлами, сервісами, репозиторіями коду. Неточні, некоректні або двозначні інструкції можуть призвести до видалення даних, зупинки бізнес-процесів чи порушення роботи критичних сервісів. Якщо в організації немає відпрацьованої стратегії резервного копіювання та відновлення, наслідки можуть бути співмірними з цілеспрямованою атакою.
Рекомендації CNCERT: як безпечніше використовувати OpenClaw
Ізоляція, сегментація та контроль доступу
У своїх рекомендаціях CNCERT пропонує ставитися до OpenClaw як до потенційно небезпечного автоматизованого агента, якому не слід надавати повний доступ до інфраструктури. Регулятор радить:
1. Запуск у контейнері. Розгортати OpenClaw в контейнеризованому середовищі (Docker, Podman тощо) з мінімально необхідними правами та жорсткими політиками доступу. Це зменшує ймовірність того, що компрометація агента призведе до захоплення всієї системи.
2. Закритий порт керування. Адміністративний інтерфейс не повинен бути доступним з публічного інтернету. Рекомендується використовувати VPN, списки дозволених IP-адрес і додаткові рівні автентифікації.
3. Посилена автентифікація. Застосування багатофакторної автентифікації, ролевої моделі доступу та принципу найменших привілеїв. Облікові записи, до яких підключено OpenClaw, мають мати строго обмежені права тільки для необхідних операцій.
4. Вимкнення автооновлень та ручний аудит плагінів. Автоматичні оновлення й установка розширень нерідко використовуються як канал доставки шкідливого коду. CNCERT радить виконувати ручну перевірку оновлень та дозволяти лише плагіни з перевірених джерел.
Позиція Gartner і реакція бізнесу та регуляторів
Висновки CNCERT узгоджуються з позицією аналітичної компанії Gartner, яка раніше охарактеризувала OpenClaw як «неприйнятний ризик кібербезпеки» для корпоративних середовищ. Аналітики рекомендують запускати такі агентні ШІ виключно в ізольованих середовищах, використовувати одноразові облікові дані та максимально обмежувати інтеграцію з продуктивною інфраструктурою.
Попри це, на тлі буму інтересу до агентного ШІ в Китаї OpenClaw швидко набув популярності. Провідні хмарні провайдери пропонують розгортання «в один клік», а за повідомленнями ЗМІ, біля штаб-квартири Tencent у Шеньчжені в березні утворилася черга з приблизно тисячі людей, де інженери компанії безкоштовно встановлювали OpenClaw усім охочим.
Після публікації попередження CNCERT низка державних установ та держбанків заборонили встановлення OpenClaw на службові комп’ютери. У деяких організаціях співробітників зобов’язали повідомити керівництво про вже встановлені екземпляри агента для перевірки безпеки та, за потреби, видалення. За даними ЗМІ, окремі структури поширили обмеження навіть на особисті пристрої співробітників, якщо ті підключаються до корпоративної мережі, розглядаючи будь-який непогоджений ІІ-агент як неконтрольовану точку входу.
Історія з OpenClaw демонструє загальну тенденцію: агентні ІІ-системи швидко перетворюються на новий клас високоризикових цифрових активів. Організаціям, які вже експериментують з OpenClaw або подібними рішеннями, доцільно провести інвентаризацію агентів, переглянути їхні привілеї, впровадити контейнеризацію, сегментацію мережі та формалізовані політики використання. Тим, хто лише планує інтеграцію агентного ШІ, варто закладати оцінку кіберризиків, вимоги до безпечної архітектури та навчання персоналу вже на ранніх етапах проєктів. Це дозволить отримати вигоду від автоматизації й ШІ, не перетворюючи найсучасніші технології на джерело критичних інцидентів безпеки.
