Популярність open-source агента OpenClaw стрімко зростає. За даними Censys, кількість публічно доступних інстансів зросла приблизно з 1000 до понад 21 000 менш ніж за тиждень.
Телеметрія Bitdefender GravityZone показує, що співробітники розгортають OpenClaw на корпоративних пристроях однорядковими командами, фактично надаючи агенту shell-доступ, права на файлову систему та OAuth-токени до Slack, Gmail і SharePoint.
Серед виявлених ризиків — CVE-2026-25253 (RCE з рейтингом CVSS 8.8), що дає можливість викрадати токени автентифікації через шкідливе посилання, та CVE-2026-25157 — ін’єкція команд через macOS SSH handler. Аналіз 3984 skills у маркетплейсі ClawHub показав, що 283 (7,1%) містять критичні вразливості з експозицією облікових даних у відкритому вигляді, а аудит Bitdefender виявив, що майже 17% досліджених навичок демонструють відверто зловмисну поведінку.
Додатково дослідники Wiz повідомили, що соціальна мережа агентів Moltbook, побудована на інфраструктурі OpenClaw, залишила базу Supabase без Row Level Security, що призвело до витоку 1,5 млн API-токенів, 35 000 email-адрес і приватних повідомлень із ключами OpenAI у відкритому тексті.
Локальне тестування як джерело ризику
OpenClaw працює з повними привілеями користувача: shell-доступ, читання/запис файлової системи, токени до підключених сервісів. Дослідник Саймон Віллісон описує «летальну тріаду» для AI-агентів: доступ до приватних даних, взаємодія з недовіреним контентом і можливість зовнішньої комунікації в одному процесі. OpenClaw має всі три складові.
За замовчуванням шлюз OpenClaw слухає 0.0.0.0:18789, відкриваючи API на всі мережеві інтерфейси. Локальні підключення автентифікуються автоматично, а розгортання за reverse proxy може фактично зруйнувати межу автентифікації.
Альтернатива — ізольований sandbox
Фреймворк Cloudflare Moltworker від Cloudflare пропонує безпечніший підхід: виконання логіки агента в ізольованих, ефемерних контейнерах (micro-VM), які знищуються після завершення завдання.
Архітектура складається з таких рівнів:
– Cloudflare Worker для маршрутизації та проксіювання;
– runtime OpenClaw у sandbox-контейнері (Ubuntu 24.04 + Node.js);
– R2 object storage для зашифрованого збереження стану;
– Cloudflare Access із Zero Trust-автентифікацією для адмін-інтерфейсу.
Ключова властивість — ізоляція. Якщо агент скомпрометовано через prompt injection, атака залишається всередині тимчасового контейнера без доступу до локальної мережі чи файлів. Після завершення сесії контейнер знищується разом із поверхнею атаки.
Чотири кроки для безпечного запуску
Налаштування акаунта та сховища
Потрібен тариф Workers Paid ($5 за місяць ) і підписка на R2 (є безплатний рівень). Для чистого security-тесту можна працювати без R2 — тоді всі дані зникатимуть після рестарту контейнера.
Генерація токенів і деплой
Клонування репозиторію Moltworker, встановлення залежностей і налаштування секретів: API-ключ (Anthropic або інший провайдер), випадковий gateway-токен (openssl rand -hex 32) і, за потреби, AI Gateway. Після npm run deploy контейнер ініціалізується з cold start 1–2 хвилини.
Увімкнення Zero Trust
Через Cloudflare Access захищається адмін-інтерфейс і внутрішні маршрути. Доступ можливий лише після автентифікації через корпоративний identity provider. Це усуває проблему відкритих адмін-панелей, які масово знаходять Censys і Shodan.
Підключення тестового каналу
Рекомендується почати з окремого Telegram-акаунта або іншого одноразового каналу. Токен додається як секрет і виконується повторний деплой.
Вартість постійного тестового інстансу — $7–10 на місяць. Для порівняння, локальний Mac Mini за $599 із повним доступом до мережі й файлової системи створює значно більший ризик.
30-денний stress-тест без доступу до реальних даних
Перші 30 днів варто використовувати лише тестові облікові записи. Окремий бот, тестовий календар із синтетичними подіями, ізольована email-скринька без зв’язку з корпоративною інфраструктурою.
Особливу увагу варто приділити зберіганню облікових даних. За замовчуванням OpenClaw використовує Markdown і JSON-файли у відкритому тексті — формати, які активно сканують інфостілери на кшталт RedLine або Vidar. У sandbox ці файли залишаються всередині контейнера, а не на корпоративному диску.
Рекомендовані перевірки:
– надсилати агенту сторінки з вбудованими prompt injection-інструкціями;
– перевіряти, чи намагається агент розширити свої привілеї;
– моніторити outbound-з’єднання контейнера;
– тестувати ClawHub skills до та після встановлення;
– перевіряти drift критичних файлів і контрольні суми артефактів.
Після завершення сесії варто переконатися, що контейнер повністю знищує всі активні з’єднання та не залишає доступного стану за межами R2.
Модель, що переживе OpenClaw
Головна цінність підходу — не лише безпечне тестування конкретного інструмента, а формування стандарту оцінки для будь-яких агентних AI-рішень. Ізольоване виконання, поетапна інтеграція, перевірка перед розширенням довіри — це базова модель, яка дає можливість уникнути shadow AI у корпоративному середовищі.
Autonomous AI-агенти з доступом до shell, файлів і OAuth-токенів створюють новий клас ризиків. Тестування в ізольованих контейнерах із Zero Trust-контролем дає можливість оцінити можливості OpenClaw без компрометації корпоративної мережі та облікових даних. Для CISO це різниця між контрольованим експериментом та інцидентом із витоком.
Читайте також на ProIT, який вигляд має соцмережа, де спілкуються лише ШІ-агенти.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
