коллеги. OpenClaw. давайте поговорим про слона в комнате. p1
контекст: https://openclaw.ai/ — это open-source агентный AI-ассистент, который подключает языковую модель к выполнению реальных действий на устройстве пользователя. проект стал вирусным, тк растет с аномальной скоростью даже по меркам AI-индустрии
дисклеймер: у меня нет лет опыта в кибербезе, я опираюсь исключительно на знания, полученные в университете в рамках трека CS в HTW, самой большой applied science school в Германии. поэтому, опытные в кибербезе коллеги — поправляйте/дополняйте меня. я также запросила мнение у своих профессоров — добавлю уточнения, как будет ОС.
давайте разбираться. в кибербезе есть понятие «поверхность атаки» — уязвимые места в системе. поэтому, сначала разберемся, из чего Openclaw состоит архитектурно:
— вход: команды вы отправляете из своего мессенджера, ex. Telegram, Slack или Discord
— дальше команды забирает gateway server и распределяет их в строгую очередь
— дальше компонент agent runner, мозг системы, собирает ВЕСЬ контекст из вашей локальной памяти и отправляет запрос на LLM. важно, что это не root доступ (полный доступ ко всему по умолчанию), НО это доступ ровно ко всему, к чему имеете доступ вы, как пользователь — файлы, ключи, токены доступа и прочее
— и дальше система выполняет команду (через shell, браузер, работу с файлами и тд)
если упросить — OpenClaw — это система, которая позволяет вам из мессенджера управлять вашим компьютером, с теми же правами и ограничениями, как если бы им управляли вы через терминал. для понимания для не-инженеров — что такое терминал и shell: когда вы нажимаете кнопки и двигаете мышку, каждое ваше действие запускает алгоритм. «если нажимается кнопка отправить — запускается алгоритм отправки сообщения». терминал позволяет вам избежать нажимания кнопок и контактировать с shell (“оболочка”, система, забирающая команды и отдающая их на исполнение) напрямую.
с архитектурой разобрались, а теперь давайте разбираться в безопасности. буду использовать аналогию с вашей квартирой, нарочно упрощая, чтобы донести суть. представьте, что OpenClaw — это такой маленький робот-помощник, который живет в вашей квартире и может делать все, что вы скажете — и посуду помыть, и позвонить куда-то с вашего телефона, и деньги из сейфа достать, и дверь открыть кому угодно. примерно так это и работает, только внутри вашего компьютера.
что же может пойти не так?
первое: вы управляете этим роботом с помощью LLM — предоставляете большой языковой модели доступ к оболочке вашей системы. мы точно знаем, что LLM могут галлюцинировать, а еще они могут быть обмануты. в документации OpenClaw об это написано прямо: “running an AI agent with shell access on your machine is… spicy”. эту группу уязвимостей принято называть prompt injection: агент может прочитать вредоносную веб-страницу, которая заставит модель игнорировать системные инструкции, например, сбросить файловую систему или отправить конфиденциальные файлы.
второе: ваш робот может скачивать из интернета любые файлы и инструкции для себя. в OpenClaw, как, например, в Claude, используется система Skills. вот только если в Клоде навыки — это, по сути, текстовые файлы, которые моделька забирает как контекст, в OpenClaw это плагины и расширения, которые работают внутри процесса и имеют полный доступ к вашей системе. уже зафиксированы случаи, когда под навык маскируется программа, которая в итоге отправляется скачивать вредоносные архивы
третье: у вашего робота есть полный доступ к вашему браузеру. а значит, ко ВСЕМ залогиненым сессиям (почта, банки, соцсети). если вдруг ваш агент сначала сходил на зараженную веб страницу, потом он может начать выполнять действия от вашего имени (отправлять письма, покупать товары, искать “запрещенную информацию”) — и это могут быть совсем не те действия, которые вы ему описывали
