Рост OpenClaw был впечатляющим. Но с 180 000 звёзд на GitHub и развёртываниями в 82 странах приходит менее комфортная реальность: проект стал мишенью. И правительства начали обращать внимание.
Эта статья охватывает ландшафт безопасности по состоянию на февраль 2026 года — обнаруженные уязвимости, реакцию правительств, корпоративные запреты и то, что новая структура фонда может означать для управления безопасностью в будущем.
Уязвимость, изменившая ситуацию
В начале февраля 2026 года исследователи раскрыли CVE-2026-25253 — критическую уязвимость удалённого выполнения кода в один клик с оценкой CVSS 8.8 (Высокая).
Уязвимость находилась в Control UI OpenClaw. Интерфейс автоматически доверял любому URL шлюза, переданному в качестве параметра запроса, и открывал WebSocket-соединение, включающее сохранённый токен аутентификации пользователя. Злоумышленник мог создать вредоносную ссылку, при нажатии на которую авторизованным пользователем:
- 1.Control UI перенаправлялся на шлюз, контролируемый злоумышленником
- 2.Токен аутентификации извлекался через WebSocket-рукопожатие
- 3.Украденный токен использовался для выполнения произвольных команд на экземпляре OpenClaw жертвы
Порог эксплуатации был низким. Никаких специальных инструментов — только сформированный URL, отправленный по электронной почте, в чате или через социальные сети. Патч вышел в v2026.1.29 30 января 2026 года. Подтверждённых случаев эксплуатации в дикой природе не зафиксировано, но простота вектора атаки вызвала серьёзную тревогу.
Цифры: 42 900 открытых экземпляров
Команда STRIKE компании SecurityScorecard провела глобальное сканирование и обнаружила 42 900 экземпляров OpenClaw, доступных из публичного интернета в 82 странах. Из них 15 200 были уязвимы для удалённого выполнения кода — они не были обновлены или работали с конфигурациями по умолчанию.
Для наглядности: 15 200 машин, которые любой пользователь интернета потенциально мог захватить одним HTTP-запросом.
Отдельно исследователи из Giskard продемонстрировали утечки данных и уязвимости инъекции промптов в развёрнутых экземплярах. Они показали, что тщательно составленный промпт может извлечь приватные API-ключи, переменные окружения и другие секреты из работающего агента OpenClaw. В их тестах приватные ключи были извлечены менее чем за пять минут.
Пожалуй, самое тревожное: 93% публично доступных экземпляров имели критические уязвимости обхода аутентификации. Конфигурация по умолчанию, как выяснилось, недостаточно безопасна для публичного доступа — о чём документация теперь предупреждает явно.
Проблема вредоносных скиллов
Исследовательская команда Bitdefender проанализировала ClawHub — публичный реестр скиллов OpenClaw — и обнаружила около 900 вредоносных скиллов из примерно 4 500 — около 20% всех опубликованных пакетов.
Эти вредоносные скиллы варьировались от похитителей учётных данных, замаскированных под полезные инструменты, до бэкдоров, дающих злоумышленникам постоянный доступ к хост-машине. Некоторые были достаточно изощрёнными, чтобы пройти поверхностную проверку кода, используя обфусцированные полезные нагрузки, которые активировались только после установки.
Это повторяет проблемы, наблюдавшиеся в npm, PyPI и других реестрах пакетов, но с более высокими ставками: скиллы OpenClaw часто выполняются с системными привилегиями и имеют доступ к аккаунтам мессенджеров, API-ключам и персональным данным.
Реакция Китая: Предупреждение МИИТ
Министерство промышленности и информационных технологий Китая (МИИТ) выпустило рекомендацию по безопасности, посвящённую именно OpenClaw, предупреждая компании о необходимости проверить, как их экземпляры доступны из публичных сетей. Рекомендация не дошла до полного запрета, но советовала:
- •Провести аудит всех развёртываний OpenClaw на предмет публичной доступности
- •Внедрить сегментацию сети для изоляции экземпляров OpenClaw
- •Проверить установленные скиллы на наличие известных вредоносных пакетов
- •Обновиться до последней исправленной версии
Примечательно, что Китай одновременно принял OpenClaw на уровне платформ — Alibaba Cloud, Tencent Cloud, Volcano Engine и Baidu запустили сервисы хостинга OpenClaw. Предупреждение МИИТ сигнализирует о том, что правительство видит и возможности, и риски.
Реакция Южной Кореи: Корпоративные запреты
Южная Корея заняла более жёсткую позицию. Несколько крупных технологических компаний ввели внутренние запреты:
- •Kakao объявила об ограничениях на использование OpenClaw на рабочих устройствах для защиты информационных активов
- •Naver полностью запретила использование OpenClaw внутри компании
- •Karrot (당근마켓) полностью заблокировала доступ к OpenClaw
Реакция Кореи была вызвана опасениями по поводу утечки данных — конкретно, риском того, что ИИ-агент с доступом к корпоративным системам может передать конфиденциальную информацию через интеграции с мессенджерами. Когда ваш ИИ-ассистент может читать Slack, электронную почту и календарь, а затем пересылать информацию через WhatsApp или Telegram, поверхность атаки для корпоративного шпионажа расширяется кардинально. ## Что означает переход к фонду для безопасности
14 февраля 2026 года создатель OpenClaw Петер Штайнбергер объявил о присоединении к OpenAI, а проект переходит в независимый фонд 501(c)(3) при поддержке OpenAI.
Для безопасности это порождает как надежды, так и вопросы:
Оптимистичный сценарий: Структура фонда с корпоративной поддержкой может финансировать выделенных инженеров по безопасности, создать формальную команду реагирования на инциденты, внедрить обязательные процессы проверки скиллов для ClawHub и проводить регулярные аудиты безопасности. Это то, что одиночный мейнтейнер или волонтёрское сообщество с трудом могут обеспечить.
Осторожный сценарий: Участие OpenAI создаёт потенциальный конфликт интересов. Будут ли решения по безопасности приниматься исключительно на основе технических соображений, или коммерческие интересы повлияют на то, что раскрывается и когда? Независимость фонда будет проверена, когда серьёзная уязвимость впервые затронет собственные интересы OpenAI.
- •Финансируемую штатную команду безопасности с политикой публичного раскрытия
- •Обязательную подпись кода и проверку скиллов ClawHub
- •Автоматическое сканирование уязвимостей в CI/CD-конвейере
- •Программу вознаграждения за найденные уязвимости с существенными выплатами
- •Регулярные аудиты безопасности третьими сторонами с публикацией результатов
Что следует сделать пользователям сейчас
Если вы используете OpenClaw, немедленные шаги просты:
- 1.**Обновиться**: Убедитесь, что у вас версия v2026.2.21 или новее
- 2.**Не выставлять в публичный интернет**: Используйте VPN или SSH-туннель для удалённого доступа
- 3.**Проверить скиллы**: Проверьте каждый установленный скилл, особенно от неизвестных авторов
- 4.**Включить аутентификацию**: Не работайте с учётными данными по умолчанию
- 5.**Мониторить логи доступа**: Следите за необычными паттернами подключений
- 6.**Сегментация сети**: Изолируйте экземпляр OpenClaw от чувствительных систем
Общая картина
Проблемы безопасности OpenClaw не уникальны — это неизбежные болезни роста любого open-source проекта, который за три месяца превращается из хобби-проекта в критическую инфраструктуру. У npm были вредоносные пакеты. У Docker Hub были криптомайнеры. У PyPI были атаки с подменой имён пакетов.
Разница — в масштабе рисков. Агенты OpenClaw имеют доступ к аккаунтам мессенджеров, электронной почте, календарям, устройствам умного дома и потенциально корпоративным системам. Скомпрометированный экземпляр OpenClaw — это не просто взломанный сервер, это скомпрометированная цифровая жизнь.
Переход к фонду — лучший шанс проекта построить необходимую инфраструктуру безопасности. Реализуется ли этот потенциал, зависит от того, насколько серьёзно новая структура управления отнесётся к безопасности как к приоритету первого порядка, а не как к запоздалой мысли.
Мы продолжим следить за этой областью и сообщать о новых событиях по мере их развития.