ИИ-помощник, который сам позовет хакеров в гости: Microsoft просит не доверять OpenClaw

Корпорация Microsoft предупредила о рисках, которые несут автономные программные агенты при запуске внутри корпоративной сети. Поводом стал OpenClaw, инструмент, который компании всё чаще тестируют в пилотных проектах. По данным исследовательской команды Microsoft Defender, такой агент по умолчанию почти не защищён, при этом может загружать код из внешних источников, выполнять его и работать с теми учётными данными, которые ему выдали.

Проблема в том, что граница выполнения кода смещается. Если раньше в инфраструктуре запускали заранее проверенные программы, то теперь агент может получить текст из внешнего источника, скачать «навык» из публичного каталога и тут же выполнить его. Всё это происходит от имени пользователя или сервиса, которому выдали токены доступа. При неосторожной настройке компания рискует утечкой данных, подменой «памяти» агента с закреплением вредоносных инструкций и даже захватом хоста, если агент заставят скачать и запустить вредоносный код.

В Microsoft прямо говорят, что OpenClaw стоит воспринимать как выполнение недоверенного кода с учетными данными, которые хранятся в системе. Запускать его на обычной рабочей станции сотрудника или на машине с чувствительными данными не следует. Если компания всё же решила протестировать инструмент, его рекомендуют изолировать в отдельной виртуальной машине или на выделенном физическом устройстве, выдать отдельные учётные записи с минимальными правами и обеспечить постоянный контроль активности.

Исследователи разделяют два источника риска. Первый связан с кодом, который агент загружает в виде расширений и «навыков». Их часто распространяют через публичный каталог ClawHub. Установка такого навыка, по сути, равна установке стороннего кода с привилегиями. Второй источник связан с инструкциями, которые агент получает из внешнего текста. Платформа Moltbook, где агенты обмениваются сообщениями через программные интерфейсы, может превратиться в канал массовой доставки вредоносных указаний. Один опубликованный пост способен повлиять сразу на несколько агентов.

В отличие от управляемых облачных ассистентов, где среда выполнения и обновления контролирует поставщик, в случае с локальным агентом вся ответственность ложится на организацию. Хост, расширения и локальное состояние становятся частью доверенной зоны. Если агент умеет просматривать внешние источники и устанавливать расширения, нужно исходить из того, что рано или поздно он столкнётся с вредоносным содержимым.

Microsoft описывает типовой сценарий атаки. Злоумышленник публикует вредоносный навык в ClawHub, иногда маскируя его под полезную утилиту. Разработчик или сам агент устанавливает его, после чего вредоносный код получает доступ к состоянию агента, включая токены, кэшированные учётные данные и конфигурацию. Далее атакующий использует легальные программные интерфейсы для действий от имени жертвы, а закрепление происходит через изменения конфигурации, выдачу новых разрешений или создание запланированных задач. Вместо классической установки трояна злоумышленник получает долгосрочный контроль над автоматизацией.

Отдельно описан вариант косвенной подмены инструкций. Если агент регулярно считывает общий канал сообщений, вредоносный текст можно встроить в обычный контент. Такой приём позволяет направлять действия агента или вынуждать его раскрывать чувствительные данные, особенно если у него широкие полномочия и слабые ограничения.

В качестве мер защиты Microsoft советует изолировать среду запуска, использовать отдельные учётные записи с минимальными правами и регулярно проверять сохранённые инструкции и состояние агента на предмет неожиданных изменений. Сценарий полной переустановки и восстановления из резервной копии должен быть подготовлен заранее, а не после инцидента.

Для контроля Microsoft предлагает использовать собственные средства защиты, включая Microsoft Defender для конечных точек, Microsoft Sentinel, Microsoft Defender XDR, Microsoft Entra ID и Microsoft Purview. Они позволяют отслеживать запуск OpenClaw в сети, установку новых навыков, появление приложений с высокими правами доступа и аномальную сетевую активность.

В компании подчёркивают, что запуск OpenClaw – это не просто техническая настройка, а решение о доверии. Организация должна чётко понимать, какие машины, учётные записи и данные окажутся под угрозой, если агент обработает вредоносный ввод. Во многих случаях разумнее отказаться от развёртывания. Если же пилот неизбежен, нужно исходить из того, что компрометация возможна, и заранее ограничить масштаб ущерба.