Мережа стрімко наповнюється локальними ІІ-асистентами, здатними керувати додатками, файлами та сервісами від імені користувача. Однак за зручністю ховається нова поверхня атаки. За даними компанії SecurityScorecard, понад 220 000 інстансів OpenClaw по всьому світу виявилися безпосередньо доступними з інтернету, що створює критичний ризик як для домашніх користувачів, так і для корпоративних мереж.
OpenClaw: опенсорсний локальний ІІ-асистент і його швидкий зліт
OpenClaw позиціонується як опенсорсний локальний ІІ-асистент, який інтегрується з популярними месенджерами — WhatsApp, Telegram, Slack, Discord тощо. Агент здатен виконувати завдання за розкладом, автоматично відповідати на запити, взаємодіяти з іншими агентами та керувати різними сервісами на машині користувача.
Проєкт стартував у листопаді 2025 року і за короткий час став надзвичайно популярним: репозиторій OpenClaw зібрав близько 200 000 зірок на GitHub, а навколо нього сформувалася окрема екосистема. Автор проєкту, Пітер Штайнбергер (Peter Steinberger), розробляв його у високому темпі, фактично без формалізованого безпечного циклу розробки (SSDLC) і повноцінного тестування безпеки.
Паралельно виникли супутні сервіси: Moltbook — «соціальна мережа» для ІІ-агентів OpenClaw, де вони «спілкуються» та публікують пости, і ClawHub — платформа навичок (skills), які розширюють функціональність асистента й дають йому ще глибший доступ до системи.
Уразливості OpenClaw та ClawHub: шкідливі навички й проблеми контролю доступу
Ще до останнього звіту SecurityScorecard екосистема OpenClaw привернула увагу дослідників з кібербезпеки. В офіційному репозиторії ClawHub виявили сотні потенційно шкідливих або скомпрометованих навичок. Через такі skills зловмисник може змусити агента розкрити API-ключі, дані платіжних карток або іншу конфіденційну інформацію.
У самому OpenClaw фахівці виявили щонайменше три суттєві уразливості, пов’язані з безпекою виконання коду та контролем доступу. Сукупно це робить OpenClaw привабливою ціллю: компрометація агента відкриває шлях до захоплення облікових даних, внутрішніх сервісів і персональних даних користувачів.
Понад 220 000 відкритих інстансів OpenClaw: що побачила SecurityScorecard
Під час інтернет-сканування SecurityScorecard виявила десятки тисяч інстансів OpenClaw, відкритих у глобальну мережу без додаткового захисту. На момент запуску їхнього live-дашборда йшлося приблизно про 135 000 експонованих сервісів, однак протягом короткого часу число перевищило 220 000, і лічильник продовжує зростати.
Це означає, що будь-хто, хто виявить такий інстанс в інтернеті, може спробувати напряму взаємодіяти з агентом. З огляду на те, що OpenClaw зазвичай має розширені права в системі, успішна атака на один інстанс практично дорівнює компрометації всієї видимої йому інфраструктури.
Технічна причина масової експозиції: прив’язка до 0.0.0.0 та слабка автентифікація
Небезпечні налаштування OpenClaw за замовчуванням
Ключовий технічний прорахунок — стандартна конфігурація мережевого інтерфейсу. За замовчуванням OpenClaw слухає підключення на адресі 0.0.0.0:18789, тобто приймає трафік з усіх інтерфейсів, включно з публічними. Для подібних інструментів значно безпечніше одразу обмежувати прив’язку до 127.0.0.1 (localhost), коли доступ можливий лише з цієї ж машини.
У поєднанні з «простим» розгортанням, відсутністю жорстких вимог до автентифікації та слабким контролем доступу це перетворює OpenClaw на масово експонований сервіс. ІІ-агент, створений як персональний помічник, на практиці стає зручною точкою входу для атакуючих.
ІІ-агент як віддалений користувач з широкими правами
Ситуацію можна порівняти з тим, ніби власник комп’ютера запросив «дистанційного помічника» виконувати завдання на своїй машині. Поки дії під контролем — це корисно, але варто з’явитися можливості підключення ззовні, і агент починає виконувати команди від будь-якого джерела, включно зі зловмисниками.
Оскільки OpenClaw часто має доступ до сховищ паролів, файлової системи, месенджерів, браузера, кешів з особистими даними, успішна експлуатація інстанса дає атакуючому широке уявлення про користувацьке чи навіть корпоративне середовище і відкриває шлях до подальшого розвитку атаки.
Корпоративні ризики: від домашнього асистента до «троянського коня» у мережі
Особливу тривогу викликає те, що значна частина виявлених інстансів прив’язана до корпоративних IP-адрес. Це означає, що OpenClaw активно використовується у робочих середовищах — нерідко без формальної оцінки ризиків і без участі фахівців з інформаційної безпеки.
У таких сценаріях зловмисник може застосувати скомпрометованого ІІ-агента як стартову точку для lateral movement — подальшого просування мережею, крадіжки конфіденційних даних, розгортання програм-вимагачів або проведення таргетованих фішингових кампаній від імені внутрішнього користувача. З погляду кібербезпеки OpenClaw стає новим елементом інфраструктури з невизначеним рівнем довіри.
Як захистити інстанси OpenClaw: практичні кроки для користувачів і компаній
Експерти SecurityScorecard рекомендують власникам OpenClaw негайно змінити прив’язку сервісу на localhost, закрити доступ з інтернету й додатково посилити захист. Базовий набір заходів включає:
- обмеження доступу до OpenClaw через фільтрацію за IP-адресами, VPN або тунелі;
- увімкнення обов’язкової автентифікації для будь-яких зовнішніх підключень;
- розгортання агента на окремій машині, у віртуальному середовищі або контейнері з жорсткими обмеженнями доступу до критичних ресурсів;
- дотримання принципу мінімально необхідних привілеїв — OpenClaw не повинен мати доступу до систем, які йому не потрібні для роботи;
- регулярний аудит відкритих портів і сервісів, моніторинг аномальної активності та логів;
- ретельну перевірку будь-яких навичок з ClawHub та інших майданчиків перед використанням у продуктивному середовищі.
Масова експозиція OpenClaw демонструє: ІІ-агенти вже стали повноцінною поверхнею атаки, а не просто зручними інструментами автоматизації. Розробникам варто з самого початку закладати принцип «безпека за замовчуванням», а організаціям — ставитися до таких асистентів як до напівавтономних користувачів у своїй інфраструктурі. Перевірте, чи не доступний ваш OpenClaw з інтернету, перегляньте конфігурації, ізолюйте агента від критичних систем і підвищуйте обізнаність команди щодо ризиків ІІ. Інакше «розумний помічник» може непомітно перетворитися на зручний інструмент для зловмисників.
