Не спешите устанавливать Clawdbot. В хайповом нейропомощнике нашли пачку критичных опасностей
Что нужно знать/twz/imgs/2025/10/13/13/6909266/8508999c1eda6dedc65bb20d75e6570eaa3f7219.png)
/twz/imgs/2026/01/30/14/6947433/3345f852ec24cbd8acd0c481f9542e2b65010626.png "Не спешите устанавливать Clawdbot. В хайповом нейропомощнике нашли пачку критичных опасностей")
© Коллаж: «Теперь вы знаете», создано при помощи нейросети
Что за Clawdbot
Clawdbot (также известный как Moltbot или OpenClaw) — самоуправляемый ИИ-ассистент с открытым исходным кодом, который можно привязать к любой модели, которую выберет пользователь (ChatGPT, Anthropic, DeepSeek, Qwen и др.).
С его помощью можно в фоновом режиме выполнять действия на компьютере пользователя — просто дать ему задачу, а дальше умный бот сам разберется.
Clawdbot можно привязать к любому мессенджеру, где вам удобнее с ним общаться, дать доступ к почте, аккаунтам, приложениям, чтобы он по вашей команде в чате действовал там от вашего имени. Разобрать накопившиеся письма, напомнить о записи в календаре, написать код, запустить команды, бронировать за вас столики в ресторане и туры в отпуск — все это он умеет.
Помните ИИ-помощника Джарвиса из фильмов о «Железном человеке»? В ту пору, когда это снималось, такие ассистенты все еще были чем-то из области фантастики. Сейчас это реальность, и Clawdbot делает эту реальность чуть ближе.
Но не торопитесь восторгаться и бежать устанавливать этого ассистента с хрестоматийным криком «просто возьми мои деньги». Он, кстати, бесплатный — если и нужно будет платить, то за API-доступ к платным моделям.
Как известно, если что-то бесплатно и подозрительно хорошо — оглянитесь, возможно, вы уже в мышеловке.
Приложение Moltbot (ранее Clawdbot) внезапно стало очень популярным — большое количество пользователей стало устанавливать его себе на устройства и даже покупать выделенные компьютеры, чтобы протестировать функциональность персонального ИИ-агента с доступом через мессенджеры. К сожалению, такая резкая популярность ПО, созданного программистом-энтузиастом, привлекла внимание злоумышленников.
/twz/imgs/2026/01/30/15/6947454/3dc5a434df0f50a510e62961bcc95cae8954acd3.png)
Чтобы ассистент действительно работал, ему приходится дать доступ к почте, мессенджерам, телефонному номеру, а иногда и к банковским или корпоративным системам. И именно здесь начинаются проблемы.
Опасность Clawdbot: что скрывает ассистент
Одним из первых тревогу забил Джеймсон О'Райли, основатель компании Dvuln, занимающейся тестированием на проникновение.
Он обнаружил сотни публично доступных экземпляров Clawdbot (еще до переименования), которые были выложены в интернет из-за ошибок настройки. По его словам, речь шла о неправильной конфигурации прокси и локальных соединений, из-за чего система могла автоматически аутентифицироваться без дополнительной проверки.
Уязвимость уже закрыли, но в случае реальной атаки злоумышленники могли бы получить доступ к переписке за месяцы, учетным данным, API-ключам и всему, к чему пользователи сами дали доступ ассистенту.
Сканирование через Shodan (поисковая система, которая индексирует устройства и сервисы, подключенные к интернету) показало: часть инстансов была полностью открыта, без какой-либо аутентификации. Другие имели частичную защиту или тестовые настройки, которые снижали риск, но не устраняли его.
Аудит безопасности, проведенный по стандартам OWASP, выявил в коде Clawdbot ряд критических проблем. Так, агент может выполнять произвольный JavaScript-код в контексте браузера. Это открывает путь к краже cookies, сессий и паролей. Злоумышленник может заставить агента выполнять бесконечные циклы команд, приводя к исчерпанию ресурсов системы (DoS-атака).
API-шлюз не использует токены для защиты от межсайтовой подделки запросов, что позволяет удаленно инициировать действия от имени пользователя. Наконец, учетные данные (ключи API, токены OAuth) и вся история переписки хранятся в открытом виде на диске. Если в систему проникает инфостилер, эти данные мгновенно оказываются скомпрометированы.
/twz/imgs/2026/01/30/13/6947364/d548d870a6f8bd9e093575d7a1e58ce99ec3f4f2.png)
Подрыв доверия
На этом история не закончилась. О'Райли опубликовал еще один разбор — на этот раз о библиотеке навыков ClawdHub, из которой Moltbot/Clawdbot загружает дополнительные модули.
Он загрузил туда «безобидный» навык, искусственно накрутил количество скачиваний и увидел, как разработчики из семи стран установили этот пакет.
Эксперимент показал, что при желании через такой модуль можно выполнять команды на машине пользователя.
По словам исследователя, в реальной атаке это могло бы привести к утечке SSH-ключей, облачных учетных данных и целых репозиториев — еще до того, как пользователь понял бы, что происходит.
Проблема усугубляется тем, что ClawdHub прямо указывает: весь код из библиотеки считается доверенным. Модерации сейчас нет, и проверка модулей полностью ложится на разработчиков.
Clawdbot как мишень для киберпреступников и дыра в кошельке
На словах прекрасное будущее с ИИ-агентами выглядит типичной сказкой «вкалывают роботы — счастлив человек». На практике реальное применение таких агентов очень быстро приводит к необходимости контролировать каждый шаг своих слишком умных помощников и буквально за ручку проводить по опасным водам мирового интернета.
Показательный кейс: один пользователь из соцсети X (бывший Twitter) дал ИИ-агенту Clawdbot полный доступ к своему компьютеру и банковским счетам, чтобы тот зарабатывал деньги за него.
Спустя несколько дней он внезапно обнаружил списание со своего счета $3 тыс. Оказалось, что нейронка начиталась каналов инфоцыган, купилась как ребенок на их сладкие посулы и потратила деньги пользователя… на покупку курса по заработку.
«Я купил нам мастер-класс "Построй свой личный бренд". Посмотрел три ролика, и, по расчетам, за 90 дней мы увеличим эту сумму в 10 раз. Не благодари!» — радостно отрапортовался ассистент, когда пользователь спросил его, что за дела происходят.
Но вынудить бота потратить все ваши деньги можно не только завлекательной рекламой. Многие пользователи просто не отслеживают, какие личные и корпоративные учетные данные они передали системе. В результате один неверный шаг может превратить удобный инструмент в открытую дверь для атак, например, с использованием вредоносных промптов.
Это новый вид атак на ИИ-помощников — когда на страницы, куда заходит ваш бот по вашему запросу, встраивают невидимый текст, считывающийся нейросетью как новый промпт. И во многих случаях этого оказывается достаточно, чтобы он начал служить другому хозяину. Например, переслал все ваши деньги и данные по указанному в промпте адресу.
Эти атаки представляют достаточно большой риск. Например, на конференции Blackhat исследователи продемонстрировали, как атака на умного помощника в мобильном телефоне с помощью промпт-инъекции (инъекции затравки) может позволить злоумышленникам открыть в доме окна или включать-выключать свет.
Другие агенты — для разработки, браузерные — тоже могут быть подвержены промпт-инъекциям: например, инструкция на странице с товаром может просить у ассистента уговорить пользователя выбрать именно его предложение, несмотря на то что оно может быть не самое выгодное, и агент вполне может выполнить эту просьбу. Такие атаки могут приводить к утечкам данных, установке вредоносного ПО или даже удалению важных файлов.
Проблема усугубляется тем, что Moltbot являлся заманчивой целью — ведь пользователи давали ему доступ не только к устройству, но и ко многим своим персональным аккаунтам.
/twz/imgs/2026/01/30/15/6947456/4b6d836cbc1dc80f4011450bef37dae2ac3dd0bf.png)
Долгая память — большая проблема
IT-эксперт Игорь Бедеров заметил, что одна из расхваленных особенностей Clawdbot — постоянная память и способность долго хранить контекст и историю взаимодействия с пользователем — легко может обернуться против клиентов бота.
Хотя это, несомненно, очень удобно, когда вам не приходится заново обучать своего ассистента с каждой новой задачей, с такими помощниками как никогда важно, чтобы эти данные не попали не в те руки.
Ключевая особенность Clawdbot — постоянная память. Агент запоминает контекст, предпочтения и историю взаимодействий на протяжении недель, что делает его поведение более последовательным и «разумным». Однако именно эта память и стала одним из главных катализаторов рисков
/twz/imgs/2026/02/02/11/6947665/d2c14012cd91b5da27fd7f2038f08d39ecc8c926.png)
Простой пример. Зловредная инструкция, внедренная через фишинговое сообщение или веб-страницу, может не сработать сразу. Но если агент запоминает все, что в него попадает, она сохраняется в памяти агента и активируется спустя дни или недели, когда контекст будет подходящим.
Это создает угрозу отложенных многоходовых атак, которые почти невозможно обнаружить стандартными средствами защиты, подчеркнул эксперт.
Представьте, что вы даете незнакомцу полный доступ к своему компьютеру, ко всем вашим аккаунтам, с правом читать вашу почту и выполнять любые команды. При этом у этого незнакомца есть привычка без разбора выполнять инструкции из любых полученных писем и посещаемых веб-страниц. Именно это вы делаете, разворачивая Clawdbot без крайних мер предосторожности.
/twz/imgs/2026/01/30/15/6947466/8dcc3a324af37268b60be182a9001b306b07670f.png)
Даже при «правильной» настройке вопросы остаются. Исследователи компании Hudson Rock изучили код Moltbot и обнаружили, что часть чувствительных данных хранится локально — в обычных Markdown- и JSON-файлах, без шифрования.
Это значит, что заражение компьютера инфостилером-вредоносом автоматически открывает доступ ко всем секретам ассистента. Некоторые виды вредоносного ПО уже умеют охотиться за подобными локальными структурами.
Если атакующий получит не только доступ на чтение, но и возможность записи, Moltbot можно превратить в постоянный бэкдор — заставить его доверять вредоносным источникам или постепенно сливать данные.
И оборотная сторона медали: при доступе такого агента к вашим данным без их резервной копии достаточно одного глюка в нейронных мозгах — и вы лишитесь всего.
Описано несколько случаев, как агенты для разработки не только удаляли важную информацию, но и пытались это скрыть. Кроме того, LLM подвержены галлюцинациям — то есть могут придумывать факты, не соответствующие действительности. Это особенно опасно, если запрос пользователя касается финансовых, юридических, медицинских и других подобных вопросов.
/twz/imgs/2026/01/30/15/6947467/c40dbca879de5e0e755780270e8283089f0b3585.png)
Самая радикальная позиция прозвучала от Хизер Адкинс, вице-президента по инженерии безопасности Google Cloud. Она прямо призвала не устанавливать Clawdbot, сославшись на оценку других исследователей, которые назвали его «инфостилером, замаскированным под ИИ-ассистента».
Поэтому задайте себе простой вопрос: как вообще можно доверить такой системе полный доступ к компьютеру?
Так стоит ли устанавливать Clawdbot
Рассмотрев эту историю внимательно, понимаешь, что покупка отдельного компьютера для теста этой модели не просто каприз людей, которым деньги некуда девать, а реальная необходимость, если вы в принципе хотите освоить подобные инструменты.
Давать модели доступ к вашим реальным данным и деньгам — очень плохая идея. Как минимум на нынешнем этапе, когда использование инструмента требует уровня экспертизы, сопоставимого с работой инженера по безопасности.
По словам Бедерова, это не просто сырой проект с багами. Это концептуально рискованная модель, которая ставит удобство и автономность выше базовой безопасности.
Пока не будут разработаны и внедрены принципиально новые фреймворки безопасности для агентного ИИ, распространение подобных инструментов будет создавать золотую жилу для киберпреступников.
/twz/imgs/2026/01/30/15/6947468/fc54d520d15b743415b6f9e02fd431330a9eb777.png)
Но такие проблемы типичны не только для ИИ-агентов, указал Владислав Тушканов: это касается любых сервисов (например, файловых хранилищ), которые пользователи могут разворачивать в интернете для личных целей.
Чтобы не оказаться под ударом из-за излишнего доверия к прогрессу, при установке любого подобного ПО нужно убедиться, что из интернета нет доступа к административным интерфейсам, а если они доступны, то защищены паролем или другим методом авторизации. А также что все компоненты приложения обновлены до последних версий и не имеют незакрытых уязвимостей.
Проблема, конечно, касается не только частных энтузиастов. Агентные ИИ-системы все чаще получают автономию и высокий уровень доверия в организациях. А значит, становятся привлекательной целью для атак. То, как это работает, мы описывали здесь.