Угрозы OpenClaw: оценка рисков и реагирование на «теневой ИИ»

Вы наверняка слышали про OpenClaw (он же Clawdbot и Moltbot) — ИИ-ассистента с открытым исходным кодом, которого можно развернуть на компьютере. Он подключается к популярным чат-платформам (WhatsApp, Telegram, Signal, Discord, Slack и тому подобным), позволяет принимать через них команды от хозяина и самостоятельно орудует в локальной файловой системе, имея доступ к календарю, почте, браузеру и даже выполняя команды ОС через оболочку.

В целом одно это с точки зрения информационной безопасности звучит достаточно тревожно. А когда люди пытаются использовать его в рабочих целях, в корпоративной инфраструктуре — тревога перерастает в уверенность скорых проблем. Некоторые эксперты уже назвали OpenClaw крупнейшей инсайдерской угрозой 2026 года. Проблемы OpenClaw покрывают полный спектр рисков, отмеченных в недавнем топе OWASP для агентского ИИ.

В OpenClaw можно задействовать любые локальные или облачные LLM и широкий спектр интеграций. Центральной частью OpenClaw является шлюз (gateway), который принимает команды через чаты или веб-интерфейс и отправляет их нужным ИИ-агентам. Первая версия ассистента под названием Clawdbot появилась в ноябре 2025 года, а в январе 2026 года ее настигла взрывная популярность, а вместе с ней — ворох ИБ-проблем. Всего за неделю случились: обнаружение нескольких критических уязвимостей, появление вредоносных «навыков» в каталоге навыков, утечка секретов из «Reddit для ботов» под названием Moltbook, требование Anthropic переименовать проект, чтобы не нарушать торговую марку Claude, кража имени аккаунта в Х и распространение через него криптоскама.

Известные проблемы OpenClaw

Разработчик проекта понимает важность вопросов ИБ, но проект разрабатывается как хобби, и у него нет выделенных ресурсов на обработку уязвимостей и другие аспекты продуктовой безопасности.

Уязвимости OpenClaw

Среди известных уязвимостей OpenClaw наиболее опасна CVE-2026-25253 с рейтингом 8,8, эксплуатация которой приводит к полной компрометации шлюза и запуску атакующим произвольных команд. А проэксплуатировать ее достаточно несложно — посещение агентом вредоносного сайта или переход пользователя по вредоносной ссылке приводят к утечке основного токена аутентификации. С ним атакующий имеет полные права управления шлюзом. Уязвимость устранена в версии 2026.1.29.

Также в OpenClaw были обнаружены две уязвимости с инъекцией команд (CVE-2026-24763, CVE-2026-25157).

Небезопасные настройки и особенности

Целый ряд настроек по умолчанию и особенностей реализации упрощают атаку на шлюз:

• по умолчанию не включена аутентификация, шлюз доступен из Интернета без нее;
• сервер принимает соединения WebSocket без проверки их источника (origin);
• соединения с локального хоста считаются доверенными, что опасно в сценариях, когда на хосте работает обратный прокси;
• из «гостевого режима» доступен вызов ряда инструментов, в том числе опасных;
• через широковещательные сообщения mDNS по локальной сети утекают важные параметры конфигурации шлюза.

Секреты в открытом виде

В конфигурации, «памяти» и чатах OpenClaw в открытом виде хранятся API-ключи, пароли и другие секреты для работы LLM и сервисов интеграции. Это критическая угроза, и уже обнаружены версии инфостилеров RedLine и Lumma, в которых файловые пути OpenClaw добавлены в список того, что нужно украсть с компьютера.

Вредоносные навыки

Возможности OpenClaw можно расширять при помощи «навыков» (skills), доступных в репозитории ClawHub. Навыки может загрузить любой желающий, так что быстро нашлись те, кто «зашил» в навыке инсталляцию macOS-инфостилера AMOS. За короткое время количество вредоносных навыков достигло сотен, и разработчики оперативно заключили соглашение с VirusTotal, чтобы все загружаемые навыки не только проверялись по базе вредоносного ПО, но и проходили разбор кода и подгружаемого контента при помощи LLM. Впрочем, авторы четко предупреждают, что это не панацея.

Структурные дефекты ИИ-агента OpenClaw

Уязвимости и настройки можно исправлять и улучшать, но некоторые проблемы OpenClaw относятся к фундаментальным. Продукт сочетает несколько критических особенностей, которые опасны в совокупности:

• OpenClaw имеет привилегированный доступ к конфиденциальным данным на компьютере и в учетных записях владельца;
• ассистент открыт к получению недоверенных данных: агент получает сообщения в мессенджерах и e-mail, самостоятельно посещает веб-страницы и тому подобное;
• он подвержен фундаментальной неспособности LLM надежно разделять команды и данные, что делает возможными промпт-инъекции;
• агент сохраняет главные выводы и артефакты из своих заданий и учитывает в будущем, таким образом одна успешная инъекция может «отравить» память агента и влиять на его поведение долгосрочно;
• OpenClaw имеет возможность отправлять данные во внешний мир: отправлять e-mail, совершать API-вызовы и задействовать другие возможности эксфильтрации.

Подчеркнем, что OpenClaw является лишь ярким, экстремальным примером, но в целом эта «ужасная пятерка» характерна для всех многоцелевых ИИ-агентов.

Риски OpenClaw для организаций

Если сотрудник устанавливает агента на корпоративное устройство и подключает его даже к минимальному набору сервисов (например, рабочему мессенджеру и SharePoint), то из-за возможности автономного запуска команд, широкого доступа к файловой системе и избыточных прав доступа, выданных через OAuth, это создает плацдарм для глубокой компрометации. Впрочем, централизованное хранение ботом незашифрованных секретов и токенов крайне опасно само по себе, даже если самого ИИ-агента не скомпрометировали.

При этом подобные настройки нарушают регуляторные требования, актуальные для многих стран и индустрий, что создает риски штрафов и непрохождения аудитов. Уже существующие регуляторные требования к ИИ-агентам (EU AI Act, NIST AI Risk Management Framework) однозначно предписывают строгое управление правами для ИИ-агентов, и подход к настройкам OpenClaw нарушает эти требования.

Но самое неприятное заключается в том, что, даже если сотрудникам запрещена установка этого ПО на рабочую технику, OpenClaw может оказаться на личных устройствах. А это также может создать определенные риски и для всей организации:

• на личных устройствах нередко хранятся доступы к рабочим системам: настройки корпоративного VPN, браузерные токены доступа к почте и рабочим системам. Они могут быть похищены для проникновения в инфраструктуру организации;
• управление через мессенджеры делает уже не только сотрудника, но и его ИИ-агента подверженными социальной инженерии. Становятся возможны похищение аккаунта, написание от его имени сообщений коллегам и другие формы мошенничества. Если через личные мессенджеры иногда обсуждаются рабочие вопросы, эта информация может быть украдена;
• если ИИ-агента на личном устройстве подключили к любым корпоративным сервисам (почта, мессенджер, хранилище файлов), злоумышленники могут манипулировать агентом для похищения данных из них, что будет крайне малозаметно корпоративным системам мониторинга.

Как обнаруживать OpenClaw

В зависимости от возможностей мониторинга и реагирования, команда SOC может отслеживать попытки подключения шлюзов OpenClaw на личных устройствах или в облаке, а также значительное количество признаков, комбинация которых выдает присутствие OpenClaw на корпоративном устройстве:

• наличие на хостах папок ~/.openclaw/  ~/clawd/ или ~/.clawdbot;
• HTML-отпечатки панелей управления (‘Clawdbot Control’), выявляемые при сетевом сканировании внутренними или публичными (Shodan) инструментами;
• трафик WebSocket на портах 3000 и 18789;
• широковещательные сообщения mNDS на порту 5353 (openclaw-gw.tcp);
• аномальные попытки аутентификации в корпоративных сервисах через OAuth: попытки регистрации новых App ID, события OAuth Consent, строки user-agent, характерные для Node.js, и другие нестандартные user-agent;
• обращения к корпоративным данным, характерные для автоматических инструментов: чтение больших пакетов данных (все файлы, все письма), сканирование данных в нерабочие часы через фиксированные интервалы.

Меры контроля «теневого ИИ»

Целый ряд мер, повышающих общую ИБ-гигиену организации, эффективно сокращают масштабы «теневого ИТ» и «теневого ИИ» и не позволят запросто развернуть в организации OpenClaw:

• используйте на хостах «списки доверенных» (allowlisting) для установки приложений и облачных интеграций только из одобренного списка. Для продуктов, допускающих расширяемость (расширения Chrome и VSCode, навыки OpenClaw), также внедрите закрытые списки одобренных расширений;
• проводите полный ИБ-анализ продуктов и сервисов (включая ИИ-агентов), перед тем как разрешить их подключение к другим корпоративным ресурсам;
• предъявляйте к ИИ-агентам высокие ИБ-требования, подобные тем, что предъявляются организацией к ее публичным серверам, обрабатывающим важные корпоративные данные;
• внедрите для пользователей и других identity принцип наименьших привилегий;
• не выдавайте права администратора без критически важной бизнес-необходимости. Требуйте, чтобы все пользователи с повышенными правами использовали их только во время выполнения соответствующих задач, а не работали под привилегированными учетными записями постоянно;
• настройте корпоративные сервисы так, чтобы техническим интеграциям (например, приложениям, получающим доступы по OAuth) также выдавались минимально необходимые разрешения;
• регулярно проводите аудиты интеграций, OAuth-доступов и разрешений, выданных внешним приложениям. Обсуждайте с бизнес-владельцами их необходимость и отзывайте лишние разрешения, отключайте неактуальные интеграции

Безопасное внедрение агентского ИИ

Если в организации разрешено пользование ИИ-агентами в каком-то экспериментальном режиме (например, разработчиками в целях тестирования или для оценки эффективности) или какие-то сценарии применения конкретного ИИ-инструмента одобрены для широкого круга сотрудников, внедрите релевантные меры мониторинга, журналирования и управления доступом:

• разрешайте разворачивание агентов в изолированной подсети со строгими ограничениями входящего и исходящего трафика к необходимым в работе и доверенным хостам;
• применяйте короткоживущие токены доступа со строго ограниченным спектром выданных привилегий. Никогда не давайте агенту токенов, дающих доступ к основным серверам и сервисам компании. Предпочтительно создавать специальные учетные записи для каждого теста;
• изолируйте агента от опасных инструментов и доступа к массивам данных, не относящихся к его работе. Для экспериментальных внедрений предпочтительно тестировать агента на полностью синтетических данных, напоминающих по структуре настоящие;
• настройте подробное журналирование действий агента, включающее запись событий, параметров командной строки, а также артефактов «размышления», сопутствующих каждой команде;
• организуйте анализ аномальной активности агента средствами SIEM. Техники и правила, помогающие обнаружить атаки LotL, применимы и к агентам, хотя потребуется дополнительный анализ, чтобы сначала определить «нормальную» активность агента;
• используя серверы MCP и дополнительные агентские навыки в ИИ-инфраструктуре, сканируйте их на безопасность при помощи инструментов, которые постепенно появляются для этих задач (skill-scanner, mcp-scanner, mcp-scan и другие). Если речь идет конкретно про тестирование OpenClaw, сразу несколько компаний разработали open-source-инструменты для анализа безопасности его настроек.

Политики компании и обучение сотрудников

Простой и привлекательный путь с полным запретом всех ИИ-инструментов редко работает — сотрудники находят обходные маневры, и проблема уходит в тень, где ее сложнее контролировать. Вместо этого лучше поискать здравый баланс между продуктивностью и безопасностью.

Внедрите прозрачные политики по использованию агентского ИИ. Четко определите, какие категории данных допустимо обрабатывать с помощью внешних ИИ-сервисов, а какие — категорически нет. Сотрудники должны понимать не только запреты, но и причины запретов. Политика «можно, но с ограничениями» воспринимается лучше, чем «нельзя».

Обучайте на конкретных примерах. Абстрактные предупреждения о «рисках утечки» не работают. Лучше показать реальные примеры, например, как агент с доступом к почте может переслать конфиденциальные письма, если его просто попросят во входящем e-mail. Когда угроза становится осязаемой, мотивация соблюдать правила растет. В идеале сотрудникам нужно пройти краткий онлайн-курс по безопасности ИИ.

Предложите безопасные корпоративные альтернативы. Если сотрудникам нужен ИИ-ассистент — дайте им одобренный инструмент с централизованным управлением, журналированием и контролем OAuth-доступов.