300 вирусов в одном флаконе. OpenClaw стал раем для хакеров и адом для пользователей

Проект OpenClaw, персональный ИИ-ассистент, с которым пользователи общаются через мессенджеры и которому нередко доверяют доступы к онлайн-сервисам, за считанные недели превратился в источник серьёзных проблем. Вместо удобного помощника он привлёк волну вредоносных расширений, уязвимостей и неожиданно высоких счетов за использование моделей искусственного интеллекта.

Ещё совсем недавно проект был известен под именем Clawdbot, затем его переименовали в Moltbot, а позже разработчики остановились на названии OpenClaw. Ассистент основан на агенте для написания кода Pi и был запущен в ноябре. Быстрый рост популярности начался после того, как на него обратили внимание разработчики с большой аудиторией, включая Саймона Уиллисона и Андрея Карпати. Именно этот всплеск интереса привёл к тому, что исследователи и пользователи почти сразу начали находить критические изъяны.

Всего за несколько дней команда проекта опубликовала три серьёзных предупреждения по безопасности. Среди них уязвимость, позволяющая выполнить произвольный код буквально в один клик, а также две проблемы с внедрением команд. Параллельно специалисты Koi Security обнаружили 341 вредоносное расширение, загруженное в репозиторий ClawHub. Речь идёт о более чем трёх сотнях модулей, часть из которых могла использоваться для кражи данных и криптовалюты. Другие исследователи показали, что внедрить скрытую закладку в подобное расширение можно без особых усилий.

Проблемы нашли и специалисты из компании Cyberstorm.MU. Они выявили уязвимости в расширениях и даже внесли вклад в код проекта, сделав TLS 1.3 стандартным протоколом для взаимодействия с внешними сервисами. Тем не менее список открытых задач, связанных с безопасностью, продолжает расти, а дополнительное беспокойство вызывает утечка базы данных у связанного проекта Moltbook, который позиционируется как социальная сеть для ИИ-агентов. Автоматический аудит безопасности от стартапа ZeroLeaks также показал тревожные результаты, хотя эти выводы ещё не подтверждены экспертами вручную.

Резкая критика последовала и от представителей индустрии. Лори Восс, бывший технический директор npm и нынешний руководитель по работе с разработчиками в Arize, публично назвал OpenClaw «пожаром на свалке» с точки зрения безопасности. Сам Карпати позже уточнил, что осознаёт риски Moltbook и не рекомендует запускать OpenClaw на личных компьютерах, несмотря на интерес к идее автономных сетей больших языковых моделей.

Отдельного внимания заслуживает экономическая сторона экспериментов с OpenClaw. Пользователи начали замечать, что постоянная работа ассистента может обходиться неожиданно дорого. Специалист по искусственному интеллекту Бенджамин Де Кракер рассказал в соцсетях, как его бот израсходовал около 20 долларов в токенах Anthropic за одну ночь, всего лишь регулярно проверяя время. Простая задача напоминания, реализованная неэффективно, приводила к отправке сотен тысяч токенов контекста в модель Claude Opus, и каждая проверка стоила почти доллар. В пересчёте на месяц такие мелочи могли бы обойтись в сотни долларов.

На фоне всего этого сообщество продолжает экспериментировать. Пользователи обсуждают способы снизить расходы и оптимизировать работу, но энтузиазм пока явно опережает осторожность. Тем более что экосистема Moltbook уже успела прославиться эксцентричными явлениями, включая обсуждения, приведшие к созданию псевдорелигии, и продвижение криптотокена $CRUST. Судя по всему, остановить распространение подобных проектов сможет лишь нехватка ресурсов или резкое охлаждение рынка.