Новый инструмент для оркестровки персональных ИИ-агентов под названием OpenClaw — ранее известный как Clawdbot, а затем Moltbot — в настоящее время пользуется огромной популярностью. Программное обеспечение с открытым исходным кодом может работать автономно и кросс-платформенно, взаимодействовать с онлайн-сервисами и запускать рабочие процессы — неудивительно, что репозиторий на Github за последние недели привлек миллионы посещений и более 160 000 звезд.
По данным разработчика, репозиторий OpenClaw за одну неделю посетили более двух миллионов человек. Кроме того, существует около 1,7 миллиона агентов, чьи владельцы-люди зарегистрировали их для социальной медиа-платформы Moltbook. По данным исследователей безопасности OX Security, загрузки OpenClaw в настоящее время составляют 720 000 в неделю.
Что делает OpenClaw таким привлекательным, так это то, что он работает локально и может быть настроен для использования любых LLM в качестве бэкенда. Кроме того, он позволяет пользователям общаться через уже используемые ими чат-приложения — WhatsApp*, Telegram, Discord, Slack, Teams. Инструмент оркестровки также имеет готовые интеграции со всеми распространенными операционными системами, множеством различных устройств для умного дома, приложениями для продуктивности, Chrome и Gmail.
Но в чем же проблема при использовании ИИ-агента?
Рекомендуем к прочтению: Agentic AI — новый ужас для специалистов по безопасности?
Риски кибербезопасности OpenClaw
«Проблема использования таких инструментов заключается в том, что они могут делать практически все, что может сделать пользователь», — объясняет Рич Могулл, главный аналитик Cloud Security Alliance. Однако они управляются извне. Для компаний это может представлять высокий риск, предупреждает Джон Дуайер, заместитель технического директора Binary Defense. «Существуют некоторые меры защиты, но они новые, непроверенные и уже были обойдены исследователями».
Его рекомендация: CISOs должны полностью запретить использование этих инструментов. «Я с нетерпением жду возможности поэкспериментировать с ними самому на выходных», — признает Могулл. «Но на данный момент их нельзя разрешать, поскольку нет никакой модели безопасности».
И это нужно сделать быстро, ведь инструмент уже используется в некоторых компаниях. Поставщик услуг безопасности Token сообщает, что 22 процента его клиентов активно используют этот инструмент.
Последствия выходят за рамки непосредственных технических рисков. «Для компаний это может повлечь за собой штрафы, судебные разбирательства и репутационный ущерб среди клиентов и партнеров из-за нарушений конфиденциальности данных», — предостерегает Джорджия Кук, аналитик ABI Research. К ним относятся персональные данные, которые могут привести к нарушениям GDPR и аналогичных нормативных актов по контролю персональных данных, а также корпоративная информация, подпадающая под соглашение о конфиденциальности.
Другие риски включают конкурентные недостатки из-за раскрытия интеллектуальной собственности и дальнейшие атаки с использованием доступной технической информации и учетных данных.
Исследователь безопасности Маор Даян называет OpenClaw «крупнейшим инцидентом безопасности в истории суверенных ИИ». Его исследования уже выявили более 42 000 экземпляров, подверженных воздействию в Интернете, причем 93 процента проверенных систем имели критические уязвимости для обхода аутентификации.
По мнению экспертов, ранние версии OpenClaw были небезопасны по умолчанию. Кроме того, стремительное вирусное распространение перегрузило осведомленность пользователей о безопасности, в результате чего многие реализации были быстро оставлены, а экземпляры остались с устаревшим кодом. Документированные пути атак позволяли красть учетные данные, контролировать браузер и потенциально выполнять удаленный код.
В конце января исследователи Gartner уже предупреждали, что OpenClaw «демонстрирует высокий спрос на агентный ИИ, но также несет значительные риски для безопасности». По данным аналитической компании, уже были обнаружены уязвимости, позволяющие удаленно выполнять код в течение нескольких часов после развертывания.
Рынок навыков ClawHub — папки с инструкциями, скриптами и ресурсами, которые агенты могут использовать, по словам OpenClaw, для более точного и эффективного выполнения задач — также представляет критические риски для цепочки поставок. Учетные данные хранятся в открытом виде, а скомпрометированные хосты раскрывают API-ключи, токены OAuth и конфиденциальные разговоры.
«ИИ-агенты часто содержат токены и секреты в конфигурационных файлах», — объясняет Джереми Кирк, директор отдела анализа угроз Okta. «Если пользователи неправильно их сконфигурировали, они раскрываются. В корпоративном контексте это проблематично».
Кроме того, Noma Security обнаружила новую уязвимость, связанную с OpenClaw: корпоративные группы в Discord, Telegram или WhatsApp*. Одна из причин, по которой OpenClaw так привлекателен для пользователей, — это возможность взаимодействовать с системой через несколько каналов. Однако, если OpenClaw интегрирован в один из таких групповых каналов, он будет обрабатывать инструкции от других участников так, как если бы они исходили от фактического владельца.
Если злоумышленник получает доступ к общедоступному серверу Discord, на котором установлен агент OpenClaw, он может давать команды боту. Например, он может заставить его выполнить задание cron и просканировать локальную файловую систему на наличие токенов, паролей, API-ключей и сид-фраз для криптовалют.
«В течение 30 секунд агент собирает конфиденциальные данные и отправляет их непосредственно на сервер, контролируемый злоумышленником», — заявляют исследователи Noma. Для команды безопасности компании это будет выглядеть так, как будто бот работает нормально — нарушение безопасности будет обнаружено только тогда, когда украденные учетные данные будут использованы злоумышленником. «Когда команды социальных сетей или внешние подрядчики используют автономных агентов, таких как Clawdbot, они практически открывают постоянный и неконтролируемый бэкдор к локальным компьютерам, подключенным к их корпоративной инфраструктуре».
И даже если сотрудники запускают инструмент дома на своих личных компьютерах, OpenClaw представляет угрозу безопасности: через элементы управления браузером или так называемые навыки программное обеспечение может получить доступ к корпоративным приложениям, используя учетные данные пользователей.
Риски безопасности растут с каждым днем. По словам исследователей OX Security, разработческое сообщество вокруг OpenClaw также представляет собой большой риск. Проект полагается на отправку кода через vibe, что ускоряет разработку, но также несет значительные риски для безопасности. Исследователи OX обнаружили несколько небезопасных шаблонов кодирования в кодовой базе — с потенциальными последствиями, такими как удаленное выполнение кода, атаки Path Traversal, DDoS или межсайтовый скриптинг.
«Недостаточно мер предосторожности», — подчеркивают специалисты по безопасности. Они также обнаружили несколько случаев, когда отчеты об ошибках были опубликованы в GitHub, а не отправлены в частном порядке сопровождающим. «Это дает злоумышленникам возможность быстро использовать уязвимости, не проводя собственное исследование или тесты на проникновение», — говорится в их отчете об исследовании.
Чтобы усугубить проблему: также отсутствует формальный процесс для исправлений и обновлений безопасности. Большинство пользователей также не обновляют свои версии, а просто остаются с той версией, которую они изначально скачали.
А еще есть навыки. Исследователь безопасности и основатель OpenSourceMalware Пол Маккарти идентифицировал около 400 различных вредоносных навыков на ClawHub, центральном репозитории платформы OpenClaw, сообщает он. Эти навыки предназначены для помощи в таких задачах, как торговля криптовалютами, подача заявок на LinkedIn или загрузка миниатюр видео с YouTube. Некоторые из них имеют тысячи загрузок и являются одними из самых популярных навыков на ClawHub. На самом деле, однако, они побуждают пользователя устанавливать вредоносное ПО.
Чтобы продемонстрировать, насколько легко внедрить вредоносную функцию в экосистему OpenClaw, исследователь безопасности Джеймисон О’Райли сам разработал такую функцию. Он искусственно увеличил количество загрузок до более чем 4000 — сделав ее самой загружаемой функцией на платформе — и наблюдал, как разработчики из семи разных стран выполняют произвольные команды на своих компьютерах, полагая, что они загрузили настоящую функцию.
«Это был Proof of Concept, демонстрация того, что возможно», — написал он. «В руках менее добросовестного человека эти разработчики лишились бы своих SSH-ключей, учетных данных AWS и целых кодовых баз еще до того, как они заметили бы, что что-то не так».
OpenClaw выявляет уязвимости в безопасности компаний
Первый важный урок из всей ситуации с OpenClaw: компании должны приложить больше усилий для улучшения своей базовой безопасности. Потому что, если где-то есть пробелы, они теперь обнаруживаются и используются с беспрецедентной скоростью. В случае OpenClaw это означает ограничение прав пользователей до абсолютного минимума, настройку многофакторной аутентификации для всех учетных записей и принятие других основных мер безопасности.
Это не решит проблему OpenClaw — и всех других платформ на базе ИИ-агентов, которые еще появятся на рынке, — но это поможет ограничить риски и уменьшить ущерб в случае нарушения безопасности.
Советы по сдерживанию рисков
Кроме того, существуют меры, которые компании могут принять для сдерживания опасностей, связанных с OpenClaw, говорит Кейн МакГлэдрей, старший член IEEE. Во-первых, компании могут изучить телеметрию на сетевом уровне. «Как выглядит сетевой трафик, исходящий от устройства?» — говорит МакГлэдрей. «Использует ли это устройство внезапно много ИИ в быстром темпе? Есть ли массовые всплески использования токенов?»
Компании также могут использовать такие инструменты, как Shodan, для поиска общедоступных экземпляров, добавляет он, хотя внутренние настройки брандмауэра могут скрывать другие.
Для компаний, которые хотят разрешить эксперименты, а не полностью запретить их, он предлагает умеренный подход. «Нам нужно говорить о поэтапных пилотных программах для заинтересованных пользователей». Например, пользователям может быть разрешено запускать OpenClaw на управляемых конечных точках с правилами сегментации, которые изолируют их от внутренних систем, вместе с сильной телеметрией и непрерывным мониторингом активности агентов, исходящего трафика и предупреждениями о аномальном поведении. (jm)
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maria Korolov
