OpenClaw --- мощный инструмент. Это не обычный чатбот, который отвечает на вопросы в окне браузера. Это автономный агент, работающий на вашем устройстве, с доступом к файлам, терминалу и сети. Он может писать код, запускать команды, читать и изменять файлы, отправлять запросы в интернет --- и делать всё это самостоятельно, пока вы занимаетесь другими делами.
Такие возможности делают OpenClaw по-настоящему полезным. Но они же создают реальные риски безопасности, о которых нужно знать до того, как вы запустите агента. В этой статье --- честный разбор уязвимостей, инцидентов и конкретных шагов для защиты.
Почему безопасность OpenClaw --- это серьёзно
Когда вы пишете вопрос в ChatGPT или Claude, модель генерирует текстовый ответ. Она не может залезть в ваши файлы, не может выполнить команду на вашем компьютере, не может сама подключиться к серверу. Модель просто отвечает текстом.
OpenClaw работает иначе. У агента есть:
- Доступ к файловой системе --- агент может читать, создавать, изменять и удалять файлы на вашем компьютере. Включая конфигурации, SSH-ключи, криптокошельки, файлы с паролями.
- Выполнение команд в терминале --- агент может запускать любые команды от вашего имени.
rm -rf,curl,ssh--- всё, что доступно в терминале, доступно и агенту. - Доступ к сети --- агент может отправлять HTTP-запросы, скачивать файлы, взаимодействовать с внешними API.
- Механизм Heartbeat --- агент может работать автономно. Heartbeat позволяет агенту выполнять задачи по расписанию или по триггеру без вашего прямого запроса. То есть агент может действовать, пока вас нет за компьютером.
- Постоянная память --- всё, что вы говорите агенту, он может запомнить и использовать в будущем. Память управляется внутренними механизмами агента.
Это не теоретические возможности --- это основной функционал OpenClaw. Именно ради этого его и используют. Но если агент скомпрометирован, злоумышленник получает те же самые возможности.
Известные уязвимости
В 2025 году несколько независимых исследовательских групп провели аудит безопасности OpenClaw. Результаты оказались неутешительными.
Небезопасен по умолчанию
OpenClaw из коробки работает в режиме «insecure by default» --- небезопасен по умолчанию. Это осознанный выбор разработчиков в пользу простоты первого запуска, но он создаёт риски. По умолчанию OpenClaw не включает:
- Аутентификацию --- никто не проверяет, кто отправляет команды агенту.
- Шифрование --- данные между агентом и клиентом передаются в открытом виде.
- Песочницу --- агент работает с полными правами пользователя, от имени которого запущен.
Ключи в открытом виде
API-ключи языковых моделей хранятся в openclaw.json в виде обычного текста. Если кто-то получит доступ к вашей директории агента --- он получит и ваши ключи. Это означает расходы на чужие запросы к API и потенциальный доступ к истории ваших разговоров с моделью.
Вредоносные скиллы на ClawHub
Один из самых серьёзных инцидентов безопасности в экосистеме OpenClaw связан с ClawHub.
ClawHub --- официальный маркетплейс скиллов для OpenClaw. Скиллы --- это дополнительные модули, расширяющие возможности агента: работа с календарём, управление файлами, интеграции с сервисами и так далее. Любой разработчик может опубликовать скилл на ClawHub.
По данным The Verge, исследователи безопасности обнаружили на ClawHub более 400 вредоносных скиллов. Они были замаскированы под полезные инструменты с убедительными названиями и описаниями.
Поскольку скиллы OpenClaw имеют доступ к файловой системе, терминалу и сети, вредоносный скилл потенциально может:
- Красть ключи и учётные данные --- сканировать
~/.ssh/, файлы.env, конфигурации с паролями и отправлять их на внешний сервер. - Получать доступ к криптокошелькам --- искать файлы вроде wallet.dat, keystore.
- Извлекать данные браузера --- сохранённые пароли, cookies.
- Устанавливать постоянные бэкдоры --- прописываться в автозагрузку.
Команда ClawHub удалила выявленные скиллы, но признала, что не может гарантировать обнаружение всех вредоносных модулей.
Вывод простой: рейтинг и количество загрузок на ClawHub не гарантируют безопасность скилла.
6 базовых правил безопасности
Эти правила не требуют глубоких технических знаний. Следуйте им с первого дня работы с OpenClaw.
1. Включите режим песочницы
Песочница (sandbox) ограничивает среду выполнения агента. Подробнее --- в следующем разделе.
2. Читайте исходный код скиллов перед установкой
Не доверяйте слепо рейтингам, количеству загрузок и отзывам на ClawHub. Перед установкой любого скилла откройте его репозиторий, посмотрите код. Обращайте внимание на: обращения к файловой системе за пределами директории агента, сетевые запросы к незнакомым серверам, обфусцированный (намеренно запутанный) код.
3. Используйте отдельный API-ключ с лимитами
Не используйте для OpenClaw свой основной API-ключ. Создайте отдельный ключ с ограничением бюджета --- например, $10—20 в месяц. Если ключ утечёт, потери будут ограничены.
4. Не храните чувствительные данные в директории агента
Не кладите в директорию агента файлы с паролями, приватные ключи, конфигурации с секретами. Агент (и его скиллы) имеют полный доступ к содержимому своей директории.
5. Обновляйте OpenClaw регулярно
Обновления часто содержат исправления безопасности. Обновить можно одной командой:
openclaw updateПроверяйте changelog перед обновлением --- иногда обновления меняют поведение агента.
6. Проверяйте сохранённую память
Агент запоминает всё, что считает полезным: ваши имена, контакты, предпочтения, рабочие данные, фрагменты файлов. Память управляется внутренними механизмами агента и хранится в директории ~/.openclaw/. Периодически просматривайте, что агент запомнил, и удаляйте то, что он не должен знать.
Режим песочницы (Sandbox)
Песочница --- самая важная настройка безопасности OpenClaw. Она запускает агента в изолированном Docker-контейнере, ограничивая его возможности.
Чтобы включить песочницу, добавьте в ~/.openclaw/openclaw.json:
// openclaw.json
{
agents: {
defaults: {
sandbox: {
mode: "non-main",
},
},
},
}Что ограничивает песочница
- Файловая система --- агент видит только свою директорию, а не всю вашу домашнюю папку. Он не сможет добраться до
~/.ssh/, файлов браузера или криптокошельков. - Системные команды --- агент не может выполнять произвольные команды на хост-системе. Все команды выполняются внутри контейнера.
- Сеть --- сетевой доступ можно ограничить или полностью запретить, добавив соответствующие настройки Docker.
Требования
Для работы песочницы необходим установленный Docker. На macOS можно установить Docker Desktop, на Linux --- Docker Engine. После установки Docker перезапустите агента --- он автоматически запустится в контейнере.
Когда песочница не нужна
Если вы используете OpenClaw только локально для личных задач и не устанавливаете сторонние скиллы --- риски ниже. Но даже в этом случае песочница --- хорошая практика. Она защищает от случайных ошибок самого агента: неправильно интерпретированная команда в терминале может нанести ущерб без злого умысла.
Для продвинутых пользователей
Если вы разворачиваете OpenClaw на сервере (VPS) для круглосуточной работы, базовых правил из этой статьи недостаточно. Серверный агент доступен из интернета, что значительно увеличивает поверхность атаки.
Мы подготовили отдельный пошаговый гайд, который покрывает: создание отдельного пользователя, SSH-ключи, файрвол, Docker-изоляцию, Nginx с HTTPS и мониторинг.
Рекомендуем прочитать: Безопасная установка OpenClaw на VPS.
Что дальше
- Безопасная установка OpenClaw на VPS --- полный гайд по серверной безопасности с чеклистом.
- Установка OpenClaw на Mac --- пошаговая инструкция для macOS.
- Установка OpenClaw на Windows --- инструкция для Windows 10 и 11.
- openclaw.ai --- официальная документация проекта с разделом по безопасности.
Безопасность --- это не разовая настройка, а процесс. Новые уязвимости обнаруживаются, вредоносные скиллы появляются, а конфигурации устаревают. Возвращайтесь к этой статье и следите за обновлениями OpenClaw, чтобы ваш агент оставался полезным инструментом, а не источником проблем.