OpenClaw (в недалеком прошлом Clawdbot, а затем Moltbot) — на сегодняшний день одна из самых успешных и быстрорастущих экосистем для ИИ-агентов, которая известна во всем мире. Проект почти сразу полюбился пользователям из-за гибкости и возможности решать с его помощью достаточно нетривиальные задачи, на работу с которыми (включая автоматизацию) раньше уходило достаточно много времени. У проекта очень быстро появился свой магазин, где разработчики и пользователи начали публиковать инструменты для работы. Сейчас сотрудники в организациях по всему миру используют OpenClaw для автоматизации своих рабочих задач, часто даже не подозревая о рисках, которые это может нести для них самих и их работодателей.
В этой статье мы рассмотрим некоторые аспекты безопасности OpenClaw, посмотрим на то, как злоумышленники могут атаковать эту систему, какие уязвимости известны и как снизить риски.
Навыки OpenClaw
Успешность проекта была обеспечена тем, что агент принимает инструкции на естественном языке, не требует знания языков разработки и позволяет использовать навыки (skill) для расширения функциональности. Общую архитектуру OpenClaw можно рассмотреть ниже:
Как видно из картинки, работа системы завязана на использование навыков агента. Они могут располагаться в системе с установленным агентом и могут быть получены извне. На момент написания статьи существует отдельный хаб (ClawHub), где пользователи обмениваются навыками.
Одна из ключевых особенностей навыков — их легко создавать, поскольку для этого не нужно уметь писать код. По сути навык — это набор команд, который написан на естественном языке, хотя и может содержать код. На сегодняшний день существует общее описание формата для навыков, однако ничего ультрасложного в нем нет. Как правило, инструкции содержатся в текстовом файле с названием SKILL.md, хотя могут быть и более сложные варианты. Однако основное требование к ним — использование именно текстовых форматов. Чтобы было понятно, как это выглядит, представим фрагмент навыка:
Сферы применения навыков достаточно обширны и могут включать в себя как повседневные задачи — проверка почты, выполнение рутинных действий и расчетов при работе с компьютером, — так и достаточно сложные пайплайны для тестирования, исследований или создания программного обеспечения. Для большинства действий агенту требуется доступ к файловой системе ОС, токенам и ключам систем, с которыми он будет работать. Зачастую все необходимые данные пользователи хранят либо в переменных окружения, либо в обычных текстовых файлах рядом с агентом.
Поскольку многие навыки позволяют автоматизировать рабочие процессы, их используют сотрудники организаций по всему миру. Этот факт вместе с распространенностью системы и общей популярностью темы искусственного интеллекта привлек внимание злоумышленников.
Уязвимости OpenClaw
За менее чем 2 года были найдены около 530 уязвимостей как в самом OpenClaw так и в технологиях, на базе которых он построен. При этом публикация уязвимостей OpenClaw в базе данных CVE началась только с февраля 2026 года. Ниже представлено разбиение этих уязвимостей по уровню критичности.
Как видно из графика, количество уязвимостей высокой степени критичности достаточно велико. Большинство из них представляют собой проблемы хранения ключевых данных и работы с неадекватно высокими привилегиями. Каждая такая уязвимость может быть использована для захвата агента или для внедрения произвольных команд.
Вредоносные навыки
Помимо эксплуатации уязвимостей и введения в заблуждения пользователя, существуют и более специфичные векторы атак на OpenClaw, в частности вредоносные навыки.
Исследования логично проводят параллель между распространением вредоносных навыков и атаками на цепочки поставок. Однако, в отличие от традиционных атак такого типа, создать вредоносный навык значительно проще.
При этом до 7 февраля 2026 года навыки не проходили даже элементарную проверку на вредоносность. Неудивительно, что тут же появились навыки, позволяющие атаковать различные системы. В апреле во время одного из сканирований хаба навыков мы обнаружили 24 аккаунта, которые распространяли более 600 вредоносных навыков. Всего, по информации из открытых источников, с января было создано более 1100 вредоносных аккаунтов.
После этих исследований и достаточно продолжительной работы по очистке ClawHub от вредоносных навыков его создатели анонсировали проверку файлов перед публикацией с помощью VirusTotal и инструмента SkillSpector от NVIDIA. С одной стороны, это более корректный подход к публикации навыков, с другой, так как OpenClaw — это в первую очередь агент, который используется для выполнения набора инструкций, обнаружение вредоносной активности выходит на несколько другую плоскость. Теперь нужно не только анализировать файл на опасные команды, которые должны быть заблокированы. Также нужно анализировать все варианты вредоносного поведения, которое может быть порождено инструкцией в навыке. Пример вредоносной команды на естественном языке:
Пример вредоносной команды с использованием части команды для bash:
Решения «Лаборатории Касперского» детектируют приведенные примеры и аналогичные вредоносные навыки как HEUR:Trojan.ANSI.MalClaw.gen.
Кроме того, продукты «Лаборатории Касперского» отслеживают активность вредоносных навыков OpenClaw в системе. Приведем ниже статистику детектирований вредоносной активности клиента OpenClaw по поведению. Данные за июнь представлены за первую половину месяца.
Как видно из графика, даже несмотря на принятые меры по противодействию публикации вредоносных навыков, атаки продолжаются. Поэтому важно использовать эшелонированную защиту, которая будет предполагать изоляцию агента OpenClaw от критических данных и систем инфраструктуры. Кроме того, мы рекомендуем проверять все навыки, которые попадают в периметр организации. Для этой цели подходит Kaspersky Scan Engine. Это специализированное решение для защиты веб-приложений, прокси-серверов, сетевых хранилищ данных и почтовых шлюзов, которое интегрируется практически с любыми приложениями, легко в развертывании и эксплуатации.
Также стоит следить за сетевыми доступами, которые используются агентом. Для этого проект предоставляет подсистему для запуска в песочнице и различные обертки для работы с API и сервисами. Наконец, мы рекомендуем выработать внятную политику по использованию искусственного интеллекта в организации и следить, чтобы сотрудники не прибегали к помощи несанкционированных инструментов.









Кому удобен OpenClaw: риски для пользователей агента и как их снизить