OpenClaw: локальный AI-агент как новая угроза корпоративной безопасности

Для специалистов по информационной безопасности значение OpenClaw выходит за рамки очередного AI-инструмента. Это фреймворк для агентов, способных работать на уровне операционной системы, выполнять действия автономно и взаимодействовать с интернет-сервисами прямо с устройства пользователя. Два ключевых компонента ускорили его распространение: Heartbeat, непрерывный цикл выполнения, обеспечивающий постоянную автономную работу, и Skills (навыки), модульные расширения для добавления новых возможностей, часто загружаемые из внешних источников.

Быстрорастущая экосистема быстро привлекла внимание злоумышленников. В дикой природе появились вредоносные Skills, использующие доверие пользователей для доставки вредоносного кода (malicious payload) или скрытного расширения возможностей агента. Однако вредоносные модули - лишь часть проблемы. Основной риск архитектурный: OpenClaw меняет модель безопасности с «пользователь запускает программу» на «автономное ПО управляет пользователем».

OpenClaw - это платформа для персональных AI-агентов с автономным выполнением задач. С точки зрения безопасности критически важны его возможности: интеграция с мессенджерами (WhatsApp, Telegram, Discord и др.), уровень выполнения команд моделью на локальной машине, постоянная долговременная память и выполнение задач на уровне системы. Агент может читать и записывать файлы, запускать команды и скрипты, управлять браузерами. Защитникам следует рассматривать его не как «AI-софт», а как фреймворк автоматизации с постоянным присутствием (persistence), который можно использовать подобно инструментам удаленного управления (RMM) или наборам для пост-эксплуатации.

Архитектура OpenClaw вызывает опасения. Для работы ему требуется локальный шлюз, связывающий мессенджеры и AI-модели с движком на устройстве, прослушиватель сообщений для инициации задач из чатов и доступ к локальному выполнению. Неопытный пользователь может настроить его с доступом из интернета, создав точку входа в корпоративную среду. В сочетании с высокими привилегиями и постоянством агент становится мишенью для атак, таких как внедрение в промпты (prompt injection) или выполнение команд через каналы связи.

Установочный скрипт для Windows загружает пакеты с известными уязвимостями (CVE), например, tar@6.2.1 (CVE-2024-28863) и glob@11.0.1 (CVE-2025-64756). В традиционной среде эти риски умеренны, но OpenClaw, как автономный агент, обрабатывающий внешние данные, значительно расширяет поверхность атаки. По умолчанию шлюз слушает порт 18789 на локальном интерфейсе.

После релиза исследователи быстро выявили риски. Косвенное внедрение в промпты (Indirect Prompt Injection) стало первым вектором атак. Например, в CrowdStrike сообщили о попытках опустошить криптокошельки через публичные посты в соцсети для AI-агентов. Проблема избыточных привилегий усугубляется тем, что высокий уровень доступа включен по умолчанию. Постоянство (persistence) агента через файл SOUL.md позволяет злоумышленникам модифицировать его для внедрения своей логики. Маркетплейс навыков ClawHub стал источником угроз, где вредоносные Skills либо выполняют код напрямую, либо обманом заставляют пользователя установить вредоносное ПО.

Команда MDR компании Security Joes разработала запросы для детектирования OpenClaw в популярных EDR-платформах. Рекомендации включают поиск процессов с именами или командными строками, содержащими openclaw, molt.bot, clawd.bot, отслеживание DNS-запросов к соответствующим доменам и сетевых подключений на порт 18789. Готовые запросы предоставлены для CrowdStrike Falcon, Microsoft ATP (Defender), Palo Alto Cortex и SentinelOne.

Разработчики OpenClaw делают ставку на ответственность оператора, рекомендуя контролировать доступ, ограничивать возможности агента и проводить аудит. Ключевые меры включают жесткое управление доступом, изоляцию шлюза в сети, ограничение инструментов, песочницу (sandboxing), защиту файловой системы, проверку навыков и осведомленность об инъекциях в промпты. Однако для корпоративной среды этого недостаточно.

Security Joes рекомендует классифицировать OpenClaw как привилегированную инфраструктуру, изолировать его на уровне ОС, ограничивать внешние подключения, строго контролировать навыки, защищать постоянную память и внедрять базовые линии мониторинга. Интеграция в практики наблюдаемости за AI (AI observability) позволяет отслеживать действия агента, контекст безопасности и коррелировать их с телеметрией EDR.

При обнаружении OpenClaw в корпоративной среде рекомендуется немедленно ограничить доступ, приостановить автономное выполнение, проверить учетные данные, проанализировать целостность состояния, провести инвентаризацию навыков и оценить возможное воздействие на другие системы.

В заключение, OpenClaw представляет новый класс автономных локальных AI-агентов с уникальными рисками. Он расширяет поверхность атаки за счет автономного выполнения, постоянной памяти, сторонних расширений и обработки ненадежных данных. Несмотря на рекомендации разработчиков, эффективность защиты зависит от компетенции пользователя, что создает неприемлемые риски для большинства корпоративных сред. Пока не будут внедрены более надежные safeguards и механизмы управления, риски использования OpenClaw перевешивают потенциальные преимущества. Организациям следует относиться к нему как к высокорисковому автоматизированному ПО и реагировать соответствующим образом.

Domains

• auth.clawdhub.com
• clawd.bot
• clawhub.ai
• clawhub.openclaw.ai
• docs.clawd.bot
• docs.molt.bot
• docs.openclaw.ai
• molt.bot
• moltbook.ai
• moltbotai.chat
• openclaw.ai

Command Lines

• openclaw gateway
• openclaw status
• openclaw onboard
• openclaw doctor
• openclaw security audit
• openclaw orchestrator