- Автор темы
- #1
Специалисты из SecurityScorecard обнаружили более 220 000 доступных через интернет инстансов OpenClaw и предупреждают, что ИИ-агенты — это ценная цель для злоумышленников.
OpenClaw — опенсорсный ИИ-ассистент, который работает локально на машине пользователя через WhatsApp, Telegram, Slack, Discord и другие мессенджеры, может выполнять задачи автономно по таймеру и общаться с другими агентами. С момента запуска в ноябре 2025 года проект набрал почти 200 000 звезд на GitHub.
Создатель проекта Питер Штайнбергер (Peter Steinberger) создал OpenClaw с помощью вайбкодинга, без особого тестирования. Параллельно с этим появились Moltbook (соцсеть для ИИ-агентов OpenClaw, где они могут постить, комментировать и взаимодействовать друг с другом) и ClawHub (где публикуются различные навыки для OpenClaw).
Как мы уже писали ранее, за непродолжительное время OpenClaw успел стать не только героем громких заголовков в СМИ, но и настоящей головной болью для ИБ-специалистов. Так, ранее в официальном репозитории ClawHub обнаружили сотни вредоносных навыков, и к тому же выяснилось, что навыки можно легко скомпрометировать и заставить ИИ выдавать API-ключи, данные карт и персональную информацию пользователей. Тем временем в самом OpenClaw нашли три серьезные уязвимости.
Теперь же эксперты SecurityScorecard подсчитали, что десятки тысяч уязвимых инстансов OpenClaw свободно доступны через интернет по всему миру. Отметим, что цифры в live-дашборде компании быстро растут в реальном времени. Когда на прошлой неделе исследователи только опубликовали свой отчет, сообщалось о 135 000 доступных инстансов, теперь же их насчитывается более 220 000.
Специалисты рекомендуют всем пользователям OpenClaw немедленно изменить привязку на localhost, однако отмечают, что большинство проблем вызвано вовсе не невнимательностью к настройкам. Многие риски являются следствием дизайна платформы, которая по своей природе должна иметь вохможность вносить изменения в систему и открывать сервисы в сеть.
Исследователи подчеркивают, что OpenClaw нельзя доверять, особенно в корпоративной среде:
OpenClaw — опенсорсный ИИ-ассистент, который работает локально на машине пользователя через WhatsApp, Telegram, Slack, Discord и другие мессенджеры, может выполнять задачи автономно по таймеру и общаться с другими агентами. С момента запуска в ноябре 2025 года проект набрал почти 200 000 звезд на GitHub.
Создатель проекта Питер Штайнбергер (Peter Steinberger) создал OpenClaw с помощью вайбкодинга, без особого тестирования. Параллельно с этим появились Moltbook (соцсеть для ИИ-агентов OpenClaw, где они могут постить, комментировать и взаимодействовать друг с другом) и ClawHub (где публикуются различные навыки для OpenClaw).
Как мы уже писали ранее, за непродолжительное время OpenClaw успел стать не только героем громких заголовков в СМИ, но и настоящей головной болью для ИБ-специалистов. Так, ранее в официальном репозитории ClawHub обнаружили сотни вредоносных навыков, и к тому же выяснилось, что навыки можно легко скомпрометировать и заставить ИИ выдавать API-ключи, данные карт и персональную информацию пользователей. Тем временем в самом OpenClaw нашли три серьезные уязвимости.
Теперь же эксперты SecurityScorecard подсчитали, что десятки тысяч уязвимых инстансов OpenClaw свободно доступны через интернет по всему миру. Отметим, что цифры в live-дашборде компании быстро растут в реальном времени. Когда на прошлой неделе исследователи только опубликовали свой отчет, сообщалось о 135 000 доступных инстансов, теперь же их насчитывается более 220 000.
Дело в том, что по умолчанию OpenClaw привязывается к 0.0.0.0:18789 — слушает на всех сетевых интерфейсах, включая публичный интернет. Хотя для такого инструмента правильнее было бы использовать 127.0.0.1 (только localhost), разработчики решили иначе.
Специалисты рекомендуют всем пользователям OpenClaw немедленно изменить привязку на localhost, однако отмечают, что большинство проблем вызвано вовсе не невнимательностью к настройкам. Многие риски являются следствием дизайна платформы, которая по своей природе должна иметь вохможность вносить изменения в систему и открывать сервисы в сеть.
При этом компрометация инстанса OpenClaw означает компрометацию всего, что видит агент: хранилище паролей, файловая система, мессенджеры, браузер, кеш с персональными данными. Хуже того, многие инстансы связаны с корпоративными IP-адресами, так что проблема затрагивает не только энтузиастов.
Исследователи подчеркивают, что OpenClaw нельзя доверять, особенно в корпоративной среде: