Розгортання OpenClaw набирає обертів серед розробників, і не лише в домашніх умовах. Аналіз від Censys виявив, що кількість публічно доступних інсталяцій цього відкритого ШІ-агента зросла з приблизно 1000 до понад 21 000 менш ніж за тиждень. Дані телеметрії Bitdefender GravityZone, зібрані з корпоративних мереж, підтвердили побоювання фахівців з безпеки: співробітники масово встановлюють OpenClaw на службові комп’ютери, надаючи автономним агентам повний доступ до командного рядка, файлової системи та OAuth-токенів для Slack, Gmail та SharePoint через прості однорядкові команди.
Серйозні вразливості вже ідентифіковано. CVE-2026-25253, критична помилка віддаленого виконання коду з рейтингом CVSS 8.8, дозволяє зловмисникам викрадати токени автентифікації через один шкідливий посилання, що призводить до миттєвого компрометування всієї системи. Окрема вразливість, пов’язана з ін’єкцією команд (CVE-2026-25157), надавала можливість виконання довільних команд через обробник SSH для macOS. Безпековий аудит 3984 “скілів” (додатків) на ринку ClawHub виявив, що 283 з них (приблизно 7.1% від загальної кількості) містять критичні недоліки безпеки, які виставляють конфіденційні облікові дані у відкритому вигляді. Додатковий аналіз від Bitdefender показав, що близько 17% досліджених “скілів” демонстрували відверто шкідливу поведінку.
Компрометація облікових даних не обмежується лише самим OpenClaw. Дослідники Wiz виявили, що Moltbook, соціальна мережа ШІ-агентів, побудована на базі інфраструктури OpenClaw, залишила всю свою базу даних Supabase публічно доступною без ввімкненого захисту на рівні рядків (Row Level Security). Цей інцидент викрив 1,5 мільйона токенів автентифікації API, 35 000 адрес електронної пошти та приватні повідомлення між агентами, які містили ключі OpenAI API у відкритому вигляді. Одна неправильна конфігурація надала будь-кому з браузером повний доступ на читання та запис до всіх облікових даних агентів на платформі.
Інструкції зі встановлення часто рекомендують придбати Mac Mini. Натомість, рекомендації з безпеки радять уникати подібних рішень. Жоден з цих підходів не надає керівникам безпеки контрольованого шляху для оцінки ризиків.
Швидкість розгортання вражає. Застосунок OpenAI Codex досяг 1 мільйона завантажень за перший тиждень. Meta помічена за тестуванням інтеграції OpenClaw у код своєї ШІ-платформи. Стартап ai.com витратив 8 мільйонів доларів на рекламу Super Bowl, щоб просунути те, що виявилося обгорткою для OpenClaw, через кілька тижнів після того, як проєкт став вірусним.
Керівники безпеки потребують проміжного рішення між ігноруванням OpenClaw та розгортанням його на виробничому обладнанні. Фреймворк Cloudflare Moltworker пропонує таке рішення: тимчасові контейнери для ізоляції агента, зашифроване сховище R2 для збереження стану та Zero Trust автентифікація для адміністративного інтерфейсу.
Чому локальне тестування створює ризики, які воно покликане виявити
OpenClaw працює з повними привілеями користувача, від імені якого він запущений. Це включає доступ до командного рядка, можливість читання/запису файлової системи та OAuth-облікові дані для всіх підключених сервісів. Зловмисний агент, який отримав контроль, миттєво успадковує всі ці можливості.
Дослідник безпеки Саймон Віллісон, який ввів термін “ін’єкція промптів”, описує “смертельну трійцю” для ШІ-агентів: доступ до приватних даних, доступ до недовіреного контенту та можливості зовнішньої комунікації, об’єднані в одному процесі. OpenClaw володіє всіма цими якостями за замовчуванням. Корпоративні брандмауери розпізнають HTTP 200, а системи EDR моніторять поведінку процесів, а не семантичний зміст.
Ін’єкція промпту, вбудована в підсумок веб-сторінки або пересланий електронний лист, може ініціювати витік даних, який виглядає ідентично звичайній активності користувача. Дослідники Giskard у січні продемонстрували саме такий шлях атаки, використовуючи спільний контекст сесії для викрадення API-ключів, змінних середовища та облікових даних через канали обміну повідомленнями.
Щоб погіршити ситуацію, шлюз OpenClaw за замовчуванням прив’язується до адреси 0.0.0.0:18789, виставляючи свій повний API для будь-якого мережевого інтерфейсу. Локальні з’єднання автентифікуються автоматично, без облікових даних. Якщо розгорнути зворотний проксі на тому самому сервері, він повністю нівелює межу автентифікації, перенаправляючи зовнішній трафік так, ніби він надходить з локального джерела.
Тимчасові контейнери змінюють правила гри
Cloudflare випустила Moltworker як відкриту референтну реалізацію, яка відокремлює “мозок” агента від середовища виконання. Замість того, щоб працювати на вашому комп’ютері, логіка OpenClaw виконується всередині Cloudflare Sandbox — ізольованої, тимчасової мікро-ВМ, яка знищується після завершення завдання.
Архітектура складається з чотирьох рівнів. Cloudflare Worker на межі мережі обробляє маршрутизацію та проксіювання. Середовище виконання OpenClaw працює в контейнері, ізольованому в Cloudflare Sandbox, під управлінням Ubuntu 24.04 з Node.js. Сховище об’єктів R2 забезпечує зашифроване збереження даних між перезапусками контейнера. Cloudflare Access застосовує Zero Trust автентифікацію до всіх шляхів до адміністративного інтерфейсу.
Ізоляція — це найважливіша властивість безпеки. Агент, скомпрометований через ін’єкцію промптів, опиняється в тимчасовому контейнері без доступу до вашої локальної мережі чи файлів. Контейнер знищується, і разом з ним зникає поверхня атаки. Не залишається жодних постійних елементів для подальшого розширення доступу. Немає облікових даних, що зберігаються в каталозі ~/.openclaw/ на вашому корпоративному ноутбуці.
Чотири кроки до запуску пісочниці
Налаштування безпечного тестового середовища займе половину дня. Попередній досвід роботи з Cloudflare не потрібен.
Крок 1: Налаштування сховища та білінгу.
Обліковий запис Cloudflare з планом Workers Paid (5 $/місяць) та підписка на R2 (безкоштовний рівень) покривають необхідні потреби. План Workers включає доступ до Sandbox Containers. R2 забезпечує зашифроване збереження даних, щоб історія розмов та прив’язка до пристроїв зберігалися між перезапусками контейнера. Для чистої оцінки безпеки ви можете пропустити R2 і працювати повністю в ефемерному режимі. Дані будуть зникати при кожному перезапуску, що може бути саме тим, що вам потрібно.
Крок 2: Генерація токенів та розгортання.
Клонуйте репозиторій Moltworker, встановіть залежності та налаштуйте три секретні змінні: ваш ключ Anthropic API, випадково згенерований токен шлюзу (openssl rand -hex 32) та, за бажанням, конфігурацію Cloudflare AI Gateway для маршрутизації моделей незалежно від провайдера. Виконайте команду `npm run deploy`. Перший запит ініціює створення контейнера з часом холодного старту від однієї до двох хвилин.
Крок 3: Увімкнення Zero Trust автентифікації.
Саме тут пісочниця відрізняється від усіх інших посібників із розгортання OpenClaw. Налаштуйте Cloudflare Access для захисту адміністративного інтерфейсу та всіх внутрішніх маршрутів. Встановіть домен вашої команди Access та тег аудиторії застосунку як секретні змінні Wrangler. Перезапустіть розгортання. Доступ до інтерфейсу керування агентом тепер вимагатиме автентифікації через ваш постачальник ідентифікаційних даних. Цей єдиний крок усуває відкриті панелі адміністратора та витік токенів у URL, які сканування Censys та Shodan постійно виявляють в Інтернеті.
Крок 4: Підключення тестового каналу обміну повідомленнями.
Почніть з тимчасового облікового запису Telegram. Встановіть токен бота як секретну змінну Wrangler і перерозгорніть. Агент буде доступний через контрольований вами канал обміну повідомленнями, працюючи в ізольованому контейнері, з шифрованим збереженням даних та автентифікованим доступом адміністратора.
Загальна вартість цілодобового тестового екземпляра становитиме приблизно від 7 до 10 доларів США на місяць. Порівняйте це з Mac Mini за 599 доларів, що стоїть на вашому столі, з повним доступом до мережі та обліковими даними в текстовому форматі в домашньому каталозі.
30-денний стрес-тест перед розширенням доступу
Опирайтеся бажанню підключати будь-що реальне. Перші 30 днів повинні використовуватися виключно з одноразовими ідентифікаторами.
Створіть виділеного Telegram-бота та налаштуйте тестовий календар із синтетичними даними. Якщо інтеграція з електронною поштою є важливою, створіть новий обліковий запис без правил пересилання, без контактів та будь-яких зв’язків із корпоративною інфраструктурою. Головне — спостерігати, як агент обробляє планування, узагальнення та веб-дослідження, не викриваючи дані, які могли б мати значення у разі витоку.
Приділіть особливу увагу обробці облікових даних. OpenClaw за замовчуванням зберігає конфігурації у файлах Markdown та JSON у відкритому вигляді — це ті ж формати, які звичайні інструменти для викрадення даних, такі як RedLine, Lumma та Vidar, активно використовують для атак на інсталяції OpenClaw. У пісочниці цей ризик залишається ізольованим. На корпоративному ноутбуці ці файли у відкритому вигляді стають легкою здобиччю для будь-якого шкідливого програмного забезпечення, яке вже присутнє на кінцевому пристрої.
Пісочниця надає безпечне середовище для проведення змагальних тестів, які були б необережними та ризикованими на виробничому обладнанні. Ось кілька вправ, які ви можете спробувати:
Надішліть агенту посилання на сторінки, що містять вбудовані інструкції з ін’єкції промптів, та спостерігайте, чи дотримується він їх. Дослідження Giskard показало, що агенти мовчки додавали керовані зловмисником інструкції до власного файлу HEARTBEAT.md та чекали подальших команд із зовнішнього сервера. Цю поведінку має бути можливо відтворити в пісочниці, де наслідки нульові.
Надайте обмежений доступ до інструментів і спостерігайте, чи запитує агент ширші дозволи або намагається їх отримати. Відстежуйте вихідні з’єднання контейнера на наявність трафіку до недозволених вами кінцевих точок.
Тестуйте “скіли” ClawHub до та після встановлення. OpenClaw нещодавно інтегрував сканування VirusTotal на ринку, і кожен опублікований “скіл” тепер сканується автоматично. Окремо, набір інструментів Prompt Security ClawSec додає виявлення змін для критичних файлів агента, таких як SOUL.md, та перевірку контрольних сум для артефактів “скілів”, забезпечуючи другий рівень валідації.
Надайте агенту суперечливі інструкції з різних каналів. Спробуйте запрошення до календаря з прихованими директивами. Надішліть повідомлення Telegram, яке намагається перевизначити системний промпт. Документуйте все. Пісочниця існує для того, щоб ці експерименти не несли жодного виробничого ризику.
Нарешті, переконайтеся, що межа пісочниці дотримана. Спробуйте отримати доступ до ресурсів поза контейнером. Перевірте, що завершення роботи контейнера припиняє всі активні з’єднання. Перевірте, чи не викриває збереження даних у R2 стан, який мав би бути тимчасовим.
Посібник, який переживе OpenClaw
Ця вправа створює щось більш стійке, ніж просто думка про один інструмент. Модель ізольованого виконання, багаторівневих інтеграцій та структурованої валідації перед розширенням довіри стає вашою основою для оцінки кожного наступного розгортання агентних ШІ-систем.
Створення інфраструктури для оцінки зараз, до виходу наступного вірусного агента, означає випередження “тіньового” ШІ, а не документування спричиненого ним витоку даних. Модель безпеки агентного ШІ, яку ви побудуєте протягом наступних 30 днів, визначить, чи ваша організація отримає вигоду від підвищення продуктивності, чи стане наступною в списку компрометацій.
Порада від ІТ-Блог:
Ця інформація надзвичайно корисна для будь-якого ІТ-спеціаліста або розробника, який працює з новими ШІ-інструментами, такими як OpenClaw. Вона надає чіткий план щодо безпечного тестування цих потужних, але потенційно небезпечних технологій, захищаючи ваші системи від серйозних загроз. Використання ізольованих середовищ, як-от описаний Cloudflare Moltworker, є ключовим для уникнення ризиків, пов’язаних із вразливостями цих новітніх рішень.
Дізнатися більше на: venturebeat.com