Найти в Дзене
Beands Live
777 подписчиков

Почему с Clawdbot пока рано выходить “в интернет” об установке его на VPS

3
5 мин
Clawdbot (ныне уже чаще называют Moltbot) — очень мощный и модный сейчас локальный ИИ‑агент. Он умеет читать и править файлы, ходить в интернет, дергать API, писать в Telegram/Slack/Discord, выполнять команды в терминале и вообще вести себя как “Джарвис на стероидах”. Но важный момент: это не просто “чатик с нейросетью”, а полноценный удалённый пульт управления вашим компьютером и аккаунтами. И вот тут начинаются проблемы. Всего за первые недели хайпа по нему вышло сразу несколько разборов от кибербезопасников: Сам разработчик уже добавляет разделы про безопасность и аудит (inbound access, trusted proxies, tool‑blast‑radius и т.п.) в документацию. Но факт остаётся: проект очень молодой, а поверхность атаки огромная.​ То, что сейчас происходит с Ollama, — отличный пример, что будет, если массово запускать “умные” сервисы на VPS “как попало”. Технически в самой Ollama “дыры” нет — люди просто меняют bind на 0.0.0.0, не добавляют авторизацию и думают: “ничего страшного, кто ж меня найдёт”
Оглавление

Clawdbot (ныне уже чаще называют Moltbot) — очень мощный и модный сейчас локальный ИИ‑агент. Он умеет читать и править файлы, ходить в интернет, дергать API, писать в Telegram/Slack/Discord, выполнять команды в терминале и вообще вести себя как “Джарвис на стероидах”.

Но важный момент: это не просто “чатик с нейросетью”, а полноценный удалённый пульт управления вашим компьютером и аккаунтами. И вот тут начинаются проблемы.

1. Что уже нашли в Clawdbot/Moltbot

Всего за первые недели хайпа по нему вышло сразу несколько разборов от кибербезопасников:

  • исследователи нашли уязвимости, которые позволяют удалённое выполнение команд (RCE) на хосте — фактически полный захват сервера при удачной атаке​
  • панель управления Clawdbot Control в ряде случаев оказывалась доступна из интернета без авторизации (особенно за reverse‑proxy типа Nginx/Caddy) — из неё можно вытащить API‑ключи, токены ботов, OAuth‑секреты и всю историю переписки
  • часть проблем связана с тем, что движок по умолчанию доверяет localhost: если всё идёт “с 127.0.0.1”, доступ даётся без логина. За прокси всё выглядит как “локальное подключение” — и защита просто обходится
  • к этому добавляется хранение секретов и “памяти” в обычных markdown/JSON‑файлах. Как только кто‑то получил доступ к серверу или к панели — он получает и ключи, и историю ваших разговоров

Сам разработчик уже добавляет разделы про безопасность и аудит (inbound access, trusted proxies, tool‑blast‑radius и т.п.) в документацию. Но факт остаётся: проект очень молодой, а поверхность атаки огромная.​

2. Урок Ollama: 175 000 открытых ИИ‑серверов по всему миру

То, что сейчас происходит с Ollama, — отличный пример, что будет, если массово запускать “умные” сервисы на VPS “как попало”.

  • исследование SentinelOne и Censys показало ~175 000 публично доступных Ollama‑серверов без нормальной защиты по всему миру
  • почти половина из них с включённым tool‑calling (то есть модель может выполнять код, ходить в сеть и т.п.)
  • уже появились реальные кампании LLMjacking: злоумышленники сканируют интернет, находят такие инстансы, гоняют через них спам, фишинг, майнинг и перепродают доступ другим преступникам

Технически в самой Ollama “дыры” нет — люди просто меняют bind на 0.0.0.0, не добавляют авторизацию и думают: “ничего страшного, кто ж меня найдёт”.

С Clawdbot риск выше: это не просто LLM, а агент с доступом к файлам, терминалу и вашим мессенджерам. Открытый наружу Clawdbot — это фактически открытый административный доступ к вашей цифровой жизни.

3. Урок GitHub Copilot: даже гиганты не успевают за сложностью агентов

Отдельная история — баг с субагентами в GitHub Copilot:

  • разработчик Angry‑Orangutan нашёл способ почти бесплатно гонять дорогую модель Claude Opus 4.5 через субагентов, потому что биллинг считает только первую “дешёвую” модель, а внутренние вызовы не тарифицируются
  • баг позволял часами молотить премиум‑модель, платя копейки
  • отчёт отправили в Microsoft, тикет сначала автоматически закрыли как “not planned”, позже снова открыли​

Это не про “как халявить”, а про другое:
даже у Microsoft с огромной командой безопасности агентная архитектура (агенты, субагенты, инструменты, биллинг, права доступа) даёт неожиданные эффекты.

Если такой зоопарк и неочевидные последствия есть у корпораций с армией инженеров, то маленький опенсорс‑проект в режиме хайпа тем более не может быть “по умолчанию безопасным”.

4. Почему Clawdbot ещё рано ставить на VPS / публичный сервер

Если собрать всё вместе, картина такая:

  1. Очень широкие права по действиям
    Clawdbot по смыслу — универсальный надстройка над вашей системой: читает файлы, пишет в чаты, дергает API, может запускать команды. Это мечта для автоматизации — и для атакующего тоже.
  2. Молодой код и свежие уязвимости
    Уже нашли и RCE, и обход аутентификации, и опасные дефолты вокруг localhost‑доверия и reverse‑proxy. Это первые недели/месяцы жизни проекта — очевидно, что не все проблемы ещё всплыли.
  3. Опасные сценарии развертывания “как удобно”
    Типичная реальность:
    VPS с белым IP
    Docker‑контейнер или сервис, торчащий за Nginx/Caddy
    “ладно, повешу на домен, потом добавлю пароль”Именно такие сценарии сделали возможными как массовые открытые Ollama‑серверы, так и незащищённые панели Clawdbot Control.
  4. Агенты — новая, слабо изученная область безопасности
    Классическую веб‑безопасность уже 20 лет шлифуют.
    Агенты с памятью, инструментами и правом выполнять действия только начинают системно разбирать в академических и отраслевых работах: описывают новые типы атак, action hijacking, backdoor‑агентов, prompt‑инъекции через почту, мессенджеры и веб‑страницы.
    Clawdbot как раз в этой новой, “сырых правил” зоне.

5. Какой формат использования сейчас безопаснее

Если очень хочется поиграться с Clawdbot / Moltbot — лучше такой порядок:

  • Запускать только локально, без белого IP
    Домашний компьютер/ноутбук, без проброса портов наружу.
  • Не биндить на 0.0.0.0, если не понимаете все последствия
    Оставлять только 127.0.0.1, использовать локальные клиенты/туннели с аутентификацией (Tailscale, Cloudflared и т.п.), но только если уверенно чувствуете сеть и безопасность.
  • Минимизировать секреты
    Подключать только те сервисы, без которых вообще неинтересно; разделять ключи (отдельный токен под бота, отдельный аккаунт, ограниченные права).
  • Изолировать среду
    Контейнер, отдельный пользователь без sudo, ограниченные директории для доступа, минимум прав на хосте.
  • Следить за обновлениями и security‑разделом в документации
    Разработчик уже добавляет “security audit” и чеклисты по защищённому деплою. Но пока проект быстро меняется, а поверхность атаки — огромна.​

6. Вывод

Clawdbot действительно ощущается “как Джарвис”: умеет очень много и даёт приятное чувство будущего уже сейчас.

Выводить его на публичный VPS, светить панелью в интернет, скармливать туда токены от рабочих аккаунтов и доступ к боевым серверам — пока очень рискованно.

Истории с массово открытыми Ollama‑инстансами и свежими уязвимостями в самом Clawdbot/Moltbot показывают одно и то же:
агентные ИИ‑системы — это сразу и супер‑инструмент, и супер‑точка для уязвимостей.

Поэтому сейчас к ним лучше относиться так:
игрушка и лаборатория — да,
боевой инструмент на VPS — пока нет.


Еще больше информации в нашем телеграмм канале. Шаблоны n8n, практические советы, обучение.