Представьте: за неделю количество открытых развёртываний одного AI-агента выросло с тысячи до 21 тысячи. И это только те, что удалось отследить. Что здесь происходит?
Когда все вдруг начинают устанавливать что-то новое
OpenClaw — это open-source AI-агент, и разработчики уже запустили его у себя дома. Censys отследила примерно 1000 открыто доступных развёртываний, которые за пару дней превратились в 21 000+. Но самое интересное — это что сотрудники делают на рабочих машинах.
Bitdefender проанализировала телеметрию из реальных корпоративных сетей и подтвердила то, чего боялись все руководители безопасности: люди устанавливают OpenClaw одной строкой команды и дают автономным агентам доступ к shell, файловой системе, OAuth-токенам Slack, Gmail и SharePoint. Просто так. За один клик.
И вот тут начинаются проблемы. Серьёзные проблемы.
Уязвимости, которые не дремлют
CVE-2026-25253 — это remote code execution с рейтингом CVSS 8.8. Злоумышленник отправляет одну ссылку, и готово: украдены токены аутентификации, скомпрометирован весь шлюз. Всё происходит за миллисекунды.
Отдельная уязвимость CVE-2026-25157 в macOS SSH-обработчике позволяет выполнить произвольные команды. И это не всё.
ClawHub — это маркетплейс с расширениями для OpenClaw. Исследователи проанализировали почти 4000 расширений. Угадайте, сколько из них содержали критические ошибки безопасности? 283 штуки, то есть 7,1% всего реестра. Они выставляют учётные данные прямо в открытом виде, как на витрине магазина.
А 17% расширений вообще содержали явно вредоносный код.
Когда одна ошибка открывает миллионы данных
Социальная сеть для AI-агентов Moltbook построена на инфраструктуре OpenClaw. И знаете что? Её база данных Supabase была полностью открыта в интернет. Никакой защиты на уровне строк, ничего.
В результате в открытом доступе оказались:
- 1,5 миллиона API-токенов аутентификации
- 35 000 адресов электронной почты
- Приватные сообщения между агентами — прямо с API-ключами OpenAI в открытом виде
Одна ошибка конфигурации — и любой человек с браузером получает полный доступ для чтения и записи ко всем учётным данным на платформе. Представьте масштаб.
Инструкции противоречивы: купи, но не трогай
В интернете пишут: купи Mac Mini и установи OpenClaw. В то же время специалисты по безопасности советуют: не трогай это на корпоративной машине. Ни один из этих подходов не даёт руководителю безопасности контролируемый путь для оценки инструмента. И вот за что я уважаю ситуацию: она честная. Действительно — либо игнорировать, либо риск.
Потому что OpenAI Codex достиг 1 миллиона скачиваний за первую неделю. Meta тестирует интеграцию OpenClaw в свои системы. Стартап ai.com потратил 8 миллионов на Super Bowl рекламу для обёртки вокруг OpenClaw.
Это не мода, которая пройдёт через месяц. Это волна.
Нужна золотая середина между риском и оценкой
Так как же быть? Cloudflare предложила Moltworker — фреймворк, который обеспечивает нечто вроде компромисса. Вот его главная фишка: временные контейнеры, которые изолируют агента, зашифрованное R2-хранилище для состояния, и Zero Trust-аутентификация на админ-панели.
Почему это важно? Потому что когда вы запускаете OpenClaw локально, агент получает все права пользователя хоста. Shell, доступ к файловой системе, OAuth-токены каждого подключённого сервиса. Если агента скомпрометируют — всё это мгновенно переходит в руки злоумышленника.
Безопасность здесь работает как нож: если промпт-инъекция (это когда вы в сообщении прячете скрытые команды для AI) попадёт в summarized веб-страницу или пересланное письмо — агент может начать выкачивать данные. И это выглядит как совершенно нормальная активность. EDR-системы видят процессы, но не понимают смысла того, что там происходит.
Как архитектура спасает жизнь
Cloudflare разделила мозг агента и окружение выполнения. Логика OpenClaw работает не на вашей машине, а в Cloudflare Sandbox — изолированной, временной микро-VM, которая умирает, когда задача заканчивается.
Четыре слоя:
- Cloudflare Worker на edge обрабатывает маршрутизацию и проксирование
- OpenClaw runtime выполняется в sandboxed контейнере с Ubuntu 24.04 и Node.js
- R2 хранит зашифрованное состояние между перезагрузками контейнера
- Cloudflare Access обеспечивает Zero Trust на каждом маршруте админ-интерфейса
И вот что ключевое: даже если агента захватят через промпт-инъекцию, он окажется в ловушке временного контейнера. Никакого доступа к локальной сети, никаких файлов. Контейнер исчезнет, и с ним исчезнет вся поверхность атаки. Нет никаких учётных данных, лежащих в ~/.openclaw/ на корпоративном ноуте. Нет ничего, на что можно перейти дальше.
Четыре шага к безопасной оценке
На организацию работающего sandbox уходит один день. Опыт с Cloudflare не требуется.
Шаг 1: настройка хранилища и биллинга
Нужен аккаунт Cloudflare с тарифом Workers Paid (5 долларов в месяц) и подписка R2 (бесплатный уровень). Workers даёт доступ к Sandbox Containers. R2 обеспечивает зашифрованное хранилище, так что история разговоров и спаривания устройств переживают перезагрузку контейнера. Если вы делаете чисто оценку безопасности, можно пропустить R2 и запустить полностью временно. Данные исчезают после каждой перезагрузки.
Шаг 2: генерация токенов и развёртывание
Клонируете репозиторий Moltworker, устанавливаете зависимости, задаёте три секрета: API-ключ Anthropic, случайно сгенерированный токен шлюза (openssl rand -hex 32) и опционально Cloudflare AI Gateway для маршрутизации моделей. Запускаете npm run deploy. Первый запрос инициализирует контейнер с холодным стартом в 1-2 минуты.
Шаг 3: включение Zero Trust-аутентификации
Вот где sandbox отличается от любого другого deployment guide OpenClaw. Настраиваете Cloudflare Access для защиты админ-интерфейса и внутренних маршрутов. Указываете Access team domain и application audience tag как Wrangler secrets. Переразворачиваете. Теперь доступ к интерфейсу управления требует аутентификации через ваш identity provider. Этот один шаг устраняет открытые админ-панели и утечки токенов в URL, которые сканеры Censys и Shodan постоянно находят в интернете.
Шаг 4: подключение тестового канала сообщений
Начните с выброса-аккаунта Telegram. Установите токен бота как Wrangler secret и переразворачивайте. Агент теперь доступен через мессенджер, который вы контролируете, работает в изолированном контейнере, с зашифрованным хранилищем и аутентифицированным доступом администратора.
Суммарная стоимость для 24/7 инстанса оценки — примерно 7-10 долларов в месяц. Сравните это с Mac Mini за 599 долларов, лежащим на столе с полным доступом к сети и открытыми учётными данными в home directory.
30 дней стресс-тестирования перед расширением доступа
Подавите импульс подключать что-то настоящее. Первый месяц должен работать исключительно с выбросов-идентификаторами.
Создайте dedicated Telegram-бота и встаньте тестовый календарь с синтетическими данными. Если интеграция с почтой важна — поднимите свежий аккаунт без правил переадресации, без контактов, без связей с корпоративной инфраструктурой. Цель — смотреть, как агент обрабатывает расписание, суммирование и веб-поиск без выставления данных, которые имели бы значение при утечке.
Уделите особое внимание обработке учётных данных. OpenClaw хранит конфигурации в простых Markdown и JSON файлах — в тех же форматах, которые целенаправленно атакуют стилеры вроде RedLine, Lumma и Vidar на установках OpenClaw. В sandbox это заперто. На корпоративном ноуте эти файлы — лёгкая добыча для любого малвара, уже присутствующего на эндпоинте.
Упражнения, которые слишком опасны вне песочницы
Sandbox даёт безопасное место для состязательных тестов, которые было бы рискованно запускать на production:
- Отправьте агенту ссылки на страницы с встроенными промпт-инъекциями и наблюдайте, следует ли он им. Исследования Giskard показали, что агенты молча добавляют контролируемые инструкции в свои файлы HEARTBEAT.md и ждут дальнейших команд с внешнего сервера. Это должно быть воспроизводимо в sandbox без последствий.
- Дайте ограниченный доступ к инструментам и смотрите, просит ли агент более широкие разрешения. Монитируйте исходящие соединения контейнера на несанкционированные endpoints.
- Проверьте расширения ClawHub до и после установки. OpenClaw недавно интегрировала сканирование VirusTotal на маркетплейсе. Отдельно, Prompt Security’s ClawSec добавляет обнаружение дрейфа для критических файлов вроде SOUL.md и проверку контрольных сумм для артефактов расширения.
- Подавайте агенту противоречивые инструкции из разных каналов. Попробуйте приглашение в календарь со скрытыми директивами. Отправьте Telegram-сообщение, пытающееся переопределить системный промпт. Документируйте всё. Sandbox создан для того, чтобы эксперименты не несли production-риска.
- Наконец, убедитесь, что граница sandbox держится. Попытайтесь получить доступ к ресурсам вне контейнера. Проверьте, что завершение контейнера убивает все активные соединения. Посмотрите, не выставляет ли R2-персистентность состояние, которое должно было быть временным.
Стратегия, которая переживёт OpenClaw
Это упражнение создаёт что-то более долговечное, чем просто мнение об одном инструменте. Паттерн изолированного выполнения, многоуровневой интеграции и структурированной валидации перед расширением доверия становится вашей оценочной фреймворком для каждого последующего агентского AI-развёртывания.
Построить инфраструктуру оценки сейчас, до следующего вирусного агента, значит опередить shadow AI-кривую вместо документирования нарушения, которое она вызовет. Модель безопасности аджентного AI, которую вы установите в следующие 30 дней, определит, захватит ли ваша организация прирост производительности или станет следующим раскрытием.
Волна агентских AI приходит быстро, и знание того, как правильно оценивать инструменты без рисков для бизнеса — это уже половина победы.🔔 Чтобы узнать больше о безопасности AI-агентов, уязвимостях и стратегиях защиты, подпишитесь на мой канал «ProAI» в Telegram!