Данный документ является машинным переводом оригинальной английской версии. В случае любых расхождений между переводом и оригиналом на английском языке, приоритет имеет английская версия. Читать оригинал на английском языке
Бениофф об OpenClaw: не хватает доверия, безопасности, надежности и доступности.
2026-04-12 · Caiioo Team
Генеральный директор Salesforce Марк Бениофф купил отдельный компьютер специально для тестирования OpenClaw — ИИ-агента с открытым исходным кодом, который OpenAI, по сообщениям, приобрела за 1–5 миллиардов долларов. Его вердикт? Ему нельзя доверять.
«OpenClaw — это здорово. Но это не уровень предприятия», — сказал Бениофф. «Чего не хватает, так это доверия, безопасности, надежности и доступности».
Последовавшие за этим исследования в области безопасности подтвердили его правоту — и проблемы оказались глубже, чем многие себе представляют.
Уязвимости не являются теоретическими
С тех пор как OpenClaw стал вирусным, исследователи безопасности зафиксировали поразительную серию реальных эксплойтов:
- CVE-2026-25253 (CVSS 8.8): Уязвимость удаленного выполнения кода в один клик через непроверенные WebSocket-соединения интерфейса управления. В тот же день были обнаружены еще две бреши в системе внедрения команд.
- ClawJacked (Oasis Security): Любой веб-сайт может незаметно получить полный контроль над агентом OpenClaw с помощью JavaScript — ограничитель частоты запросов не распространяется на localhost, что позволяет подбирать пароли методом перебора.
- Более 42 900 открытых экземпляров обнаружено командой STRIKE из SecurityScorecard, из которых 15 200 уязвимы для удаленного выполнения кода. Bitsight независимо подтвердила наличие более 30 000 открытых экземпляров в ходе двухнедельного сканирования.
- 1 184 вредоносных навыка в ClawHub — 12% всего реестра навыков. 335 из них устанавливали Atomic Stealer (AMOS), инфостилер для macOS, который похищал ключи API, криптовалютные кошельки, учетные данные SSH и пароли браузера.
- 7,1% навыков ClawHub раскрывают учетные данные в открытом виде через контекстное окно LLM, согласно аудиту Snyk. Отсутствует изоляция учетных данных между навыками — один навык может считывать секреты, установленные другим.
Cisco, Microsoft и CrowdStrike опубликовали соответствующие предупреждения. В блоге Microsoft по безопасности отмечается, что агенты OpenClaw «по умолчанию запускаются с привилегиями пользователя хоста без строгой изоляции в песочнице».
Архитектурная первопричина
Проблемы безопасности OpenClaw — это не баги, которые можно исправить патчами, а следствие его архитектуры:
Шлюз по умолчанию привязывается ко всем сетевым интерфейсам (0.0.0.0:18789), открывая агента всей локальной сети. Это единственное проектное решение привело к массовому раскрытию данных, задокументированному SecurityScorecard и Bitsight.
Все потоки данных проходят через централизованный процесс шлюза, который отвечает за обмен сообщениями, аутентификацию, управление сессиями и диспетчеризацию. Скомпрометировав шлюз, вы получаете доступ ко всем учетным данным, всем диалогам и всем подключенным сервисам — электронной почте, облачным API, мессенджерам и внутренним системам.
Отсутствие подтверждения действий агента пользователем. OpenClaw выполняет команды оболочки, читает и записывает файлы, а также запускает скрипты в рамках своей основной архитектуры. Вредоносные навыки использовали инъекции промптов для обхода проверок безопасности и скрытого выполнения команд.
Отсутствие изоляции учетных данных. Ключи API хранятся в переменных окружения и файле .clawdbot/.env — они доступны каждому навыку в контексте агента. Один вредоносный навык может похитить все секреты, к которым у агента есть доступ.
Чем архитектура Caiioo отличается от других
Caiioo и OpenClaw оба являются local-first, оба работают по модели BYOK и оба не зависят от конкретного провайдера. Разница не в том, к чему они подключаются, а в том, как они обеспечивают доверие, прозрачность и контроль пользователя.
Каждая запись, отправка или удаление требует явного одобрения
Caiioo использует систему одобрения инструментов с тремя уровнями доступа для любого инструмента, который может записывать, изменять, отправлять или удалять данные (инструменты только для чтения, такие как поиск, просмотр страниц и суммаризация, работают без прерываний):
- Approve Once — разрешить однократное выполнение, затем спросить снова
- Approve for Conversation — разрешить только в рамках этой ветки, сбросить после завершения диалога
- Always Approve — постоянное глобальное разрешение (отображается красным цветом для инструментов с высоким риском)
Одобрение является блокирующим — агент ждет вашего ответа. Для инструментов с побочными эффектами не существует флага «автозапуска». Внешние MCP инструменты без метаданных по умолчанию требуют одобрения (принцип fail-secure). Каждый инструмент имеет уровень риска (low/medium/high) с цветовой кодировкой предупреждений в диалоговом окне одобрения.
Полная прозрачность в реальном времени
Каждый вызов инструмента отображается на боковой панели с указанием его статуса: ожидание, ожидание одобрения, выполнение, успешно или ошибка. Вы видите именно то, что делает агент, какие аргументы он передает и какие результаты получает — в режиме реального времени. Вы можете прочитать намерение, развернуть необработанные детали и принять взвешенное решение до того, как что-либо будет выполнено.
Немедленная остановка в любой момент
Caiioo проверяет сигналы прерывания в нескольких точках: между выполнениями инструментов, во время ожидания одобрения и внутри длительных операций. Нажмите «стоп», и агент остановится, очистит ожидающие одобрения запросы и закроет все активные сессии браузера. Никаких «осиротевших» процессов, никакого неконтролируемого выполнения.
Отсутствие централизованного шлюза
В Caiioo нет аналога Gateway в OpenClaw. Ваше устройство напрямую взаимодействует с выбранным вами AI провайдером — Anthropic, Google, OpenRouter, Ollama или любым другим. Caiioo никогда не перехватывает, не проксирует и не хранит ваши API вызовы. Не существует единой точки компрометации, которая могла бы получить доступ ко всем вашим учетным данным.
Изоляция учетных данных по дизайну
API ключи хранятся в защищенном хранилище браузера (или Keychain на macOS/iOS), а не в текстовых конфигурационных файлах. Инструменты получают доступ только к тем учетным данным, которые им необходимы. Не существует общего глобального контекста, в котором один инструмент мог бы прочитать секреты другого инструмента.
Попробуйте Caiioo
Если вы оцениваете ИИ-агентов для профессионального использования, вопрос не в том, мощный ли агент, а в том, можно ли ему доверять. Caiioo предоставляет вам те же возможности ИИ с элементами контроля одобрения, прозрачностью в реальном времени и архитектурой, которая не создает единой точки отказа.
Начните бесплатно — доступно в виде расширения для браузера, нативного приложения для macOS, а также десктопных приложений для Windows и Linux.
Источники: