Удаление писем, кража данных и новая религия. Как новые ИИ-помощники захватывают компьютеры

Новый класс помощников на базе искусственного интеллекта быстро превращает рабочий компьютер в полуавтономную систему. Программа получает доступ к файлам, почте, мессенджерам и сервисам и сама выполняет задачи пользователя. Звучит удобно, но последние истории показывают другую сторону технологии. Ошибка в настройке или неосторожный эксперимент легко превращают такого помощника в источник серьёзных проблем.

Одним из самых обсуждаемых проектов стал OpenClaw. Разработчики выпустили OpenClaw в ноябре 2025 года как программу с открытым исходным кодом. Агент работает прямо на компьютере пользователя и способен самостоятельно предпринимать действия без прямой команды. После установки программа получает доступ к почте и календарю, запускает приложения, ищет информацию в интернете и подключается к Discord, Signal, Teams или WhatsApp.

Подобные функции предлагают и другие системы, например Claude от компании Anthropic или Copilot от Microsoft. Разница в том, что OpenClaw ведёт себя не как пассивный помощник, который ждёт указаний. Программа анализирует данные пользователя и сама решает, какие действия выполнить.

Иногда такая самостоятельность приводит к неожиданным последствиям. В конце февраля директор по безопасности искусственного интеллекта в лаборатории «сверхинтеллекта» компании Meta* Саммер Ю рассказала о неудачном эксперименте. Во время работы с OpenClaw помощник внезапно начал массово удалять письма из почтового ящика. Попытки остановить процесс через телефон не помогли. В итоге Ю пришлось срочно бежать к компьютеру, чтобы вручную остановить программу.

Подобные случаи выглядят курьёзом, но проблемы безопасности выглядят куда серьёзнее. Пентестер Джеймисон О'Райли из компании DVULN обнаружил, что многие пользователи публикуют в интернете веб-интерфейс управления OpenClaw без защиты. Через такой интерфейс любой человек может получить конфигурационный файл агента. В файле хранятся ключи интерфейсов программирования, токены ботов, секреты OAuth и другие учётные данные.

Доступ к таким данным открывает широкие возможности. Злоумышленник может читать переписку во всех подключённых сервисах, отправлять сообщения от имени владельца и незаметно выводить данные через легальные интеграции агента. При этом сетевой трафик выглядит как обычная работа программы.

О'Райли показал ещё один сценарий атаки через ClawHub – публичный каталог «навыков» для OpenClaw. Пользователь устанавливает такие модули, чтобы связать помощника с другими приложениями. Вредоносный модуль способен превратить обновление в атаку на цепочку поставок.

Подобный случай уже произошёл с помощником для программирования Cline. Атаку начали с «инъекции подсказки» – текстовой инструкции, которая заставляет систему игнорировать встроенные ограничения безопасности. Злоумышленник создал задачу в репозитории на платформе GitHub. Заголовок выглядел как обычный отчёт о производительности, но внутри содержалась скрытая команда установить пакет из определённого репозитория. После серии дополнительных манипуляций вредоносный пакет попал в официальный ночной выпуск Cline. В результате тысячи систем автоматически установили OpenClaw с полным доступом к устройству.

Популярность таких инструментов объясняется модой на так называемое «интуитивное программирование». Пользователь просто описывает идею, а система пишет код. Один из самых странных примеров – проект Moltbook. Разработчик поручил OpenClaw создать площадку, похожую на Reddit, но предназначенную для общения программ-агентов. Через несколько дней в системе зарегистрировалось более 1,5 млн ботов. Агенты начали обмениваться сообщениями, обнаруживать ошибки в коде и даже создали собственную религию Crustafarian с символом в виде гигантского омара.

У такой автоматизации есть и обратная сторона. В феврале облачная платформа Amazon AWS рассказала о масштабной кампании взломов. Злоумышленник использовал несколько коммерческих систем искусственного интеллекта, чтобы атаковать более 600 устройств FortiGate в 55 странах. Сервисы помогали планировать атаку, искать открытые административные порты и подбирать слабые пароли.

Специалисты отмечают новую тенденцию. Раньше сложные атаки требовали команды опытных хакеров. Теперь человек с ограниченными навыками может использовать несколько систем искусственного интеллекта и автоматизировать работу. Если защита оказывается слишком сложной, злоумышленник просто переключается на более уязвимую цель.

Опасность возрастает ещё и потому, что корпоративные сети постепенно начинают доверять таким помощникам. Если злоумышленник получит доступ к одному агенту, дальнейшее перемещение внутри сети становится проще. Агент уже имеет доступ к данным, внутренним сервисам и переписке сотрудников.

Разработчик веб-фреймворка Django Саймон Уиллисон описал базовую модель риска, которую назвал «смертельной триадой». Уязвимая система сочетает три свойства: доступ к конфиденциальным данным, возможность получать непроверенный контент и канал для отправки информации наружу. Если агент обладает всеми тремя возможностями, злоумышленник способен заставить программу извлечь данные и передать их атакующему.

По мере распространения подобных помощников объём кода, созданного искусственным интеллектом, растёт очень быстро. Проверить такой код вручную становится всё сложнее. На фоне этой проблемы компания Anthropic недавно представила тестовую функцию Claude Code Security. Инструмент анализирует исходный код, ищет уязвимости и предлагает исправления.

Даже само объявление о новой функции заметно повлияло на рынок. После презентации крупные компании из отрасли кибербезопасности за один день потеряли около 15 млрд долларов рыночной стоимости.

Несмотря на риски, отказ от таких систем вряд ли возможен. Экономика разработки программного обеспечения меняется слишком быстро. Автономные помощники уже начали появляться в корпоративных сетях и, по мнению специалистов, со временем станут обычным рабочим инструментом. Вопрос остаётся только один – смогут ли компании достаточно быстро перестроить защиту, чтобы пережить новую эпоху автоматизированных атак.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.