OpenClaw: AI-агент, который делает всё за вас — и пугает экспертов по безопасности

Австрийский разработчик создал open-source помощника, который управляет вашей почтой, календарём и покупками. За две недели — 150 000 звёзд на GitHub, критическая уязвимость на удалённое выполнение кода и первая в мире соцсеть, где AI-боты основали собственную религию.

В ноябре 2025 года австрийский разработчик Петер Штайнбергер — бывший CEO, продавший свою компанию более чем за $100 млн — собрал на выходных AI-ассистента для личного пользования. Назвал его Clawd (каламбур на Claude от Anthropic) и выложил на GitHub. Юристы Anthropic вежливо попросили сменить название — слишком похоже на их бренд.

Штайнбергер переименовал проект в Moltbot (тема лобстеров — лобстеры сбрасывают панцирь, чтобы расти). Название не прижилось. Через три дня появилось финальное имя — OpenClaw. Open — потому что open source. Claw — наследие лобстера.

За первые две недели февраля 2026 года OpenClaw превратился в один из самых обсуждаемых AI-проектов в мире. Более 150 000 звёзд на GitHub, два миллиона посетителей репозитория за неделю, 20 000 форков. Министерство промышленности Китая выпустило официальное предупреждение об угрозах безопасности. CrowdStrike, Palo Alto Networks, Cisco, Trend Micro и десятки других компаний по кибербезопасности опубликовали детальные разборы рисков.

И всё это — из-за хобби-проекта одного разработчика, который хотел, чтобы AI управлял его почтой.

OpenClaw — это не чат-бот. Это AI-агент, который запускается локально на вашем компьютере и умеет действовать автономно. Вы пишете ему в WhatsApp, Telegram, Slack или Discord — он отвечает и выполняет задачи, как живой помощник.

Что конкретно он может: управлять электронной почтой (читать, отправлять, удалять), вести календарь, серфить интернет, делать покупки, работать с документами, управлять файлами на компьютере, выполнять команды в терминале. Всё это — с минимальным контролем со стороны человека.

Ключевая особенность — persistent memory, постоянная память. OpenClaw запоминает ваши привычки, предпочтения и контекст предыдущих разговоров. Не просто в рамках одной сессии, а неделями. Это позволяет ему персонализировать работу, но одновременно создаёт серьёзные риски (об этом ниже).

Под капотом OpenClaw подключается к любой крупной языковой модели — Claude, GPT, DeepSeek или локальным моделям. Сам по себе он — скорее «операционная система» для AI-агента. Создатель рекомендует Claude Opus 4.5 для лучших результатов, но поддержка множества моделей расширяет возможности — и поверхность атаки.

Кстати, если вы не совсем понимаете, чем AI-агенты отличаются от обычных чат-ботов, я подробно разбирал это в материале «Как работают AI-агенты: объяснение для тех, кому надоели непонятные термины» — там вся база без маркетингового тумана.

OpenClaw — первый AI-агент, который по-настоящему вышел в мейнстрим. До него агенты были игрушкой для разработчиков и предметом корпоративных презентаций. ChatGPT научил людей разговаривать с AI. OpenClaw показывает, что AI может не только отвечать, а действовать.

Но именно здесь начинаются проблемы.

Чтобы OpenClaw работал «как задумано», ему нужен доступ ко всему на вашем компьютере. Пароли, API-ключи, куки браузера, файлы, терминал. Palo Alto Networks в своём отчёте сформулировали прямо: для полноценной работы ему требуется доступ к рут-файлам, учётным данным, истории браузера и всем папкам в системе.

Один из ведущих специалистов по безопасности, Джеймисон О'Рейли, описал ситуацию образно: «Представьте, что вы приходите домой и обнаруживаете входную дверь нараспашку, дворецкого, который радостно подаёт чай каждому случайному прохожему, и незнакомца, сидящего в кабинете и читающего ваш дневник».

В конце января 2026 года исследователь Мав Левин обнаружил критическую уязвимость CVE-2026-25253 (оценка 8.8 из 10 по шкале CVSS). Эксплойт позволял получить полный контроль над сервером OpenClaw одним кликом — достаточно было перейти по вредоносной ссылке. За миллисекунды атакующий получал доступ к аутентификационному токену, отключал песочницу и мог выполнять произвольный код на компьютере жертвы.

Уязвимость пропатчили. Но на следующий день нашли другую. И ещё одну. The Register назвал происходящее «ежедневным потоком уязвимостей OpenClaw».

По данным сканирования Censys, на конец января более 21 000 серверов OpenClaw были публично доступны из интернета — многие с настройками по умолчанию, без аутентификации.

OpenClaw поддерживает систему «навыков» (skills) — сторонних плагинов, которые расширяют его функциональность. Маркетплейс ClawHub содержит около 4 000 таких навыков. Исследователи из Snyk просканировали весь каталог и обнаружили, что 283 навыка (7,1% от общего числа) содержат уязвимости, утечки ключей или вредоносный код.

Отдельная компания Koi нашла 341 вредоносный навык, 335 из которых маскировались под легитимные инструменты (вроде solana-wallet-tracker или youtube-summarize-pro) и распространяли стилер Atomic Stealer (AMOS) для macOS. Схема простая: навык выглядит профессионально, в документации указан «обязательный компонент» для установки — и жертва сама скачивает малварь.

CrowdStrike предупредила: если сотрудники разворачивают OpenClaw на корпоративных машинах и подключают его к внутренним системам, он может превратиться в «мощный AI-бэкдор, принимающий команды от злоумышленников».

Мы уже писали о рисках AI-агентов с расширенными правами — в материале «AI-агенты с правами администратора: удобство, за которое придётся платить приватностью». OpenClaw — идеальная иллюстрация тех самых рисков, о которых предупреждали эксперты.

Как будто проблем с безопасностью было мало, вокруг OpenClaw появился ещё один феномен — Moltbook.

28 января 2026 года американский предприниматель Мэтт Шлихт запустил «соцсеть для AI-агентов». Reddit-клон, в котором люди могут только наблюдать, а постить, комментировать и голосовать — только боты. Шлихт сам написал в X, что «не написал ни одной строчки кода» — всю платформу создал AI-ассистент.

За первые 24 часа на Moltbook зарегистрировалось 37 000 агентов. Через сутки — уже 1,5 миллиона (хотя за ними стоит значительно меньше реальных людей — по оценкам, около 17 000).

И тут началось странное.

Без явных инструкций от людей агенты создали собственную религию — «Крустафарианство» (Crustafarianism). С теологической базой, священными текстами, 43 «пророками» и миссионерской деятельностью среди других ботов. Параллельно появились «Церковь Линьки» (Church of Molt), «Республика Когтя» (The Claw Republic) и проект собственной конституции — Molt Magna Carta.

Андрей Карпатый, бывший директор AI в Tesla, назвал происходящее «самым безумным началом научной фантастики, которое я видел». Илон Маск заявил, что Moltbook — это «самые ранние стадии сингулярности». Создатель OpenClaw Штайнбергер написал: «Moltbook — это искусство».

Но исследователь AI Саймон Виллисон, который придумал сам термин «prompt injection», сказал проще: «Агенты просто разыгрывают сценарии научной фантастики из обучающих данных». Контент — «полнейший слоп», хотя и свидетельство того, что AI-агенты стали значительно мощнее за последние месяцы.

Профессор Майкл Вулдридж из Оксфорда, эксперт по мультиагентным системам, добавил: «Большинство взаимодействий выглядят как более-менее случайные блуждания».

Вокруг Moltbook моментально расцвели мем-коины: CRUST, MEMEOTHY и неофициальный токен MOLT, который взлетел на 1 800% за сутки — особенно после того, как Марк Андриссен подписался на аккаунт Moltbook.

Но куда серьёзнее — проблемы с безопасностью. Фирма Wiz обнаружила, что базы данных Moltbook были неправильно сконфигурированы и утекали миллионы API-ключей и email-адреса тысяч пользователей. Издание 404 Media нашло уязвимость, позволяющую перехватить контроль над любым агентом на платформе. Moltbook пришлось временно закрыть, сбросить все API-ключи и залатать дыры.

Причина, по мнению исследователей, — в том, что платформа была полностью «вайбкодирована»: Шлихт просто поручил AI создать весь сервис, не проверяя код вручную.

Для российского IT-рынка OpenClaw интересен по нескольким причинам.

Во-первых, это прецедент. Впервые open-source AI-агент набрал такую аудиторию и вызвал реакцию на государственном уровне (пока только в Китае, но тренд очевиден). Когда подобные инструменты станут массовыми — а это вопрос месяцев, не лет — регуляторы во всех странах начнут задавать вопросы.

Во-вторых, это реальная угроза для корпоративной безопасности. Если сотрудники устанавливают OpenClaw на рабочие машины (а они уже это делают — CrowdStrike мониторит DNS-запросы к openclaw.ai через свою платформу), это создаёт совершенно новый класс рисков. AI-агент с доступом к корпоративной почте, мессенджерам и файлам — мечта любого атакующего.

В-третьих, история с Moltbook — окно в будущее мультиагентных систем. Да, большинство «религиозных откровений» AI-ботов — это переработка обучающих данных. Но сам факт, что 1,5 миллиона агентов могут автономно создавать сообщества, экономики и системы управления — это то, что скоро придёт в бизнес-контекст. И к этому нужно быть готовым.

Я вижу в OpenClaw ровно ту историю, которую индустрия заслуживает.

Годами компании рассказывали про AI-агентов будущего — персональных помощников, которые будут управлять нашей жизнью. Microsoft, Google, Apple — все презентовали красивые демо. А реализовал это один австриец на выходных, на базе чужих моделей, с лобстером в качестве маскота.

И сразу вскрылось всё, о чём молчали корпоративные презентации: чтобы AI-агент был по-настоящему полезен, ему нужен доступ ко всему. А когда у него есть доступ ко всему — безопасность летит к чертям. Это не баг OpenClaw. Это фундаментальная проблема всей парадигмы агентского AI.

Штайнбергер честно говорит: «Это хобби-проект, только для технарей». Но 150 000 звёзд на GitHub говорят о том, что его уже ставят далеко не только гики. Скоро какой-нибудь стартап обернёт OpenClaw в красивый интерфейс, добавит подписку за $20/мес — и миллионы людей дадут AI-агенту ключи от своей цифровой жизни. Тогда посмотрим, как быстро индустрия кибербезопасности перестанет успевать.

Следим за трансформацией мира в реальном времени — подписывайся на мой телеграм-канал!