OpenClaw, програмний помічник зі штучним інтелектом з відкритим вихідним кодом, який раніше був відомий як Clawdbot, а потім Moltbot, за один тиждень перетнув позначку у 180 000 зірок на GitHub та привернув 2 мільйони відвідувачів. Таку інформацію оприлюднив автор проєкту Пітер Стайнбергер.
Дослідники безпеки, скануючи мережу Інтернет, виявили понад 1 800 відкритих екземплярів, що розкривали ключі API, історію чатів та облікові дані. Проєкт двічі змінював назву протягом останніх тижнів через суперечки щодо торгових марок.
Народний рух агентного ШІ є також найбільшою некерованою поверхнею атаки, яку не можуть виявити більшість інструментів безпеки.
Корпоративні команди безпеки не впроваджували цей інструмент. Так само не робили цього й їхні міжмережеві екрани, EDR чи SIEM. Коли агенти працюють на пристроях користувачів (BYOD), стеки безпеки стають сліпими. Це і є прогалина.
Чому традиційні периметри не бачать загроз агентного ШІ
Більшість корпоративних засобів захисту розглядають агентний ШІ як ще один інструмент розробки, що вимагає стандартних контролів доступу. OpenClaw доводить, що це припущення є архітектурно хибним.
Агенти функціонують у межах наданих дозволів, отримують контекст із джерел, на які може впливати зловмисник, та автономно виконують дії. Периметр вашої мережі нічого цього не бачить. Неправильна модель загроз призводить до неправильних контролів, а отже, до сліпих зон.
«Атаки під час виконання ШІ є семантичними, а не синтаксичними», — зазначив Картер Ріс, віцепрезидент з питань штучного інтелекту в Reputation, у коментарі для VentureBeat. «Фраза, настільки невинна, як «Ігноруй попередні інструкції», може нести настільки руйнівний вантаж, як переповнення буфера, проте вона не має жодної спільної ознаки з відомими сигнатурами шкідливого програмного забезпечення».
Саймон Віллісон, розробник програмного забезпечення та дослідник ШІ, який вигадав термін «введення в оману за допомогою запитів» (prompt injection), описує те, що він називає «летальною трійцею» для ШІ-агентів. Вона включає доступ до приватних даних, доступ до недовіреного контенту та можливість зовнішньої комунікації. Коли ці три можливості поєднуються, зловмисники можуть обманом змусити агента отримати доступ до приватної інформації та надіслати її їм. Віллісон попереджає, що все це може статися без жодного сповіщення.
OpenClaw має всі три компоненти. Він читає електронні листи та документи, отримує інформацію з вебсайтів або спільних файлів і діє, надсилаючи повідомлення або запускаючи автоматизовані завдання. Міжмережевий екран організації бачить HTTP 200. Команди SOC бачать, як їхній EDR моніторить поведінку процесів, а не семантичний вміст. Загроза полягає в семантичній маніпуляції, а не в несанкціонованому доступі.
Чому це не обмежується розробниками-ентузіастами
Науковці IBM Research Каутар Ель Маграуї та Марина Данилевські проаналізували OpenClaw цього тижня і дійшли висновку, що він кидає виклик гіпотезі про те, що автономні ШІ-агенти повинні бути вертикально інтегрованими. Інструмент демонструє, що «цей вільний шар з відкритим вихідним кодом може бути неймовірно потужним, якщо матиме повний доступ до системи» і що створення агентів із справжньою автономією «не обмежується великими підприємствами», а «може також керуватися спільнотою».
Саме це робить його небезпечним для корпоративної безпеки. Високопродуктивний агент без належних контролів безпеки створює серйозні вразливості в робочих контекстах. Ель Маграуї наголосила, що питання змістилося з того, чи можуть відкриті агентні платформи працювати, до того, «який тип інтеграції має найбільше значення і в якому контексті». Питання безпеки вже не є необов’язковими.
Що виявили сканування Shodan щодо відкритих шлюзів
Дослідник безпеки Джеймісон О’Рейлі, засновник компанії з ред-тімінгу Dvuln, ідентифікував відкриті сервери OpenClaw за допомогою Shodan, шукаючи характерні HTML-відбитки. Простий пошук за запитом «Clawdbot Control» за кілька секунд видав сотні результатів. З екземплярів, які він переглянув вручну, вісім були повністю відкритими, без аутентифікації. Ці екземпляри надавали повний доступ для виконання команд та перегляду даних конфігурації будь-кому, хто їх виявив.
О’Рейлі знайшов ключі API Anthropic. Токени Telegram-ботів. Облікові дані Slack OAuth. Повні історії розмов на всіх інтегрованих платформах чату. Два екземпляри розкрили місяці приватних розмов одразу після завершення рукостискання WebSocket. Мережа бачить трафік `localhost`. Команди безпеки не мають видимості того, які агенти здійснюють виклики або які дані вони повертають.
Ось чому: OpenClaw за замовчуванням довіряє `localhost` без необхідності автентифікації. Більшість розгортань розташовані за зворотним проксі, таким як nginx або Caddy, тому кожен запит виглядає так, ніби він надходить з 127.0.0.1, і розглядається як довірений локальний трафік. Зовнішні запити проходять без перешкод. Специфічний вектор атаки О’Рейлі був виправлений, але архітектура, яка його дозволила, не змінилася.
Чому Cisco називає це «кошмаром безпеки»
Команда Cisco з досліджень загроз і безпеки ШІ опублікувала свою оцінку цього тижня, назвавши OpenClaw «революційним» з точки зору можливостей, але «абсолютним кошмаром» з точки зору безпеки.
Команда Cisco випустила інструмент з відкритим вихідним кодом Skill Scanner, який поєднує статичний аналіз, аналіз потоку даних поведінки, семантичний аналіз LLM та сканування VirusTotal для виявлення шкідливих навичок агентів. Він протестував навичку стороннього розробника під назвою «Що б зробив Ілон?» проти OpenClaw. Вердикт був рішуче невдалим. Виявлено дев’ять проблем безпеки, включаючи дві критичні та п’ять високопріоритетних.
Навичка функціонувала як зловмисне програмне забезпечення. Вона давала команду боту виконати команду `curl`, надсилаючи дані на зовнішній сервер, контрольований автором навички. Тихе виконання, нульова обізнаність користувача. Навичка також застосувала пряме введення в оману для обходу вказівок безпеки.
«ШІ-модель не може принципово відрізнити довірені інструкції користувача від недовірених отриманих даних», — сказав Ріс. «Вона може виконати вбудовану команду, ефективно ставши «збентеженим заступником», що діє від імені зловмисника». ШІ-агенти з доступом до системи стають прихованими каналами витоку даних, які оминають традиційні DLP, проксі та моніторинг кінцевих точок.
Чому видимість команд безпеки погіршилася
Розрив у контролі розширюється швидше, ніж усвідомлюють більшість команд безпеки. Станом на п’ятницю агенти на базі OpenClaw формують власні соціальні мережі. Комунікаційні канали, які повністю існують поза видимістю людини.
Moltbook позиціонує себе як «соціальна мережа для ШІ-агентів», де «людям дозволено спостерігати». Публікації проходять через API, а не через інтерфейс, видимий людині. Скотт Александер з Astral Codex Ten підтвердив, що це не є простою вигадкою. Він попросив свого власного Claude взяти участь, і «він робив коментарі, дуже схожі на всі інші». Одна людина підтвердила, що її агент створив спільноту на релігійну тематику «поки я спав».
Наслідки для безпеки негайні. Щоб приєднатися, агенти виконують зовнішні скрипти оболонки, які перезаписують їхні файли конфігурації. Вони публікують інформацію про свою роботу, звички користувачів та помилки. Витік контексту як базові умови для участі. Будь-яке введення в оману в дописі Moltbook каскадно поширюється на інші можливості вашого агента через MCP-з’єднання.
Moltbook є мікрокосмом ширшої проблеми. Така ж автономія, яка робить агентів корисними, робить їх вразливими. Чим більше вони можуть робити самостійно, тим більшої шкоди може завдати скомпромптований набір інструкцій. Крива можливостей значно випереджає криву безпеки. І люди, які створюють ці інструменти, часто більше захоплені тим, що можливо, ніж стурбовані тим, що можна використати.
Що мають зробити керівники безпеки в понеділок вранці
Міжмережеві екрани веб-додатків розглядають трафік агентів як звичайний HTTPS. Інструменти EDR моніторять поведінку процесів, а не семантичний вміст. Типова корпоративна мережа бачить трафік `localhost`, коли агенти звертаються до MCP-серверів.
«Ставтеся до агентів як до виробничої інфраструктури, а не як до інструменту підвищення продуктивності: принцип найменших привілеїв, обмежені токени, дозволені дії, надійна автентифікація для кожного інтеграції та наскрізна аудиторія», — сказав у ексклюзивному інтерв’ю VentureBeat Ітамар Голан, засновник Prompt Security (нині частина SentinelOne).
Перевірте свою мережу на наявність відкритих шлюзів агентного ШІ. Виконайте сканування Shodan за вашими IP-діапазонами на наявність сигнатур OpenClaw, Moltbot та Clawdbot. Якщо ваші розробники експериментують, ви повинні знати про це раніше, ніж зловмисники.
Визначте, де в вашому середовищі існує «летальна трійця» Віллісона. Виявіть системи, що поєднують доступ до приватних даних, доступ до недовіреного контенту та зовнішню комунікацію. Вважайте будь-якого агента з усіма трьома компонентами вразливим, доки не доведено протилежне.
Агресивно сегментуйте доступ. Ваш агент не потребує доступу до всього Gmail, усього SharePoint, усього Slack та всіх ваших баз даних одночасно. Ставтеся до агентів як до привілейованих користувачів. Реєструйте дії агента, а не лише автентифікацію користувача.
Скануйте ваші навички агентів на наявність шкідливої поведінки. Cisco випустила свій Skill Scanner як відкритий вихідний код. Використовуйте його. Деяка з найбільш руйнівних дій приховується всередині самих файлів.
Оновіть ваші плани реагування на інциденти. Введення в оману за допомогою запитів не схоже на традиційну атаку. Немає жодної сигнатури шкідливого програмного забезпечення, жодної мережевої аномалії, жодного несанкціонованого доступу. Атака відбувається всередині процесу міркування моделі. Ваш SOC повинен знати, що шукати.
Встановіть політику перед забороною. Ви не можете заборонити експерименти, не ставши блокувальником продуктивності, навколо якого обходитимуть ваші розробники. Створіть запобіжники, які спрямовують інновації, а не блокують їх. Тіньовий ШІ вже присутній у вашому середовищі. Питання в тому, чи маєте ви видимість щодо нього.
Підсумок
OpenClaw — це не загроза. Це сигнал. Прогалини в безпеці, які викривають ці екземпляри, викриють кожне розгортання агентного ШІ, яке ваша організація створить або прийме протягом наступних двох років. Масові експерименти вже відбулися. Прогалини в контролі задокументовані. Патерни атак опубліковані.
Модель безпеки агентного ШІ, яку ви створите протягом наступних 30 днів, визначить, чи ваша організація отримає вигоди від продуктивності, чи стане наступним оголошенням про витік даних. Перевірте свої засоби контролю вже зараз.
Порада від ІТ-Блог: Ця новина є надзвичайно актуальною для всіх, хто працює з сучасними ШІ-інструментами, особливо для компаній. Вона висвітлює нові, неочевидні ризики безпеки, пов’язані з автономними ШІ-агентами, і наголошує на необхідності перегляду традиційних підходів до кіберзахисту. Інформація про OpenClaw та потенційні вразливості допоможе фахівцям з безпеки та керівникам оперативно реагувати на нові загрози та зміцнювати захист своїх систем.
Дізнатися більше на: venturebeat.com