Це машинний переклад оригінального документа англійською мовою. У разі будь-яких розбіжностей між цим перекладом та оригінальною англійською версією, пріоритет має версія англійською мовою. Читати оригінал англійською мовою
Беніфф про OpenClaw: Чого не вистачає, так це довіри, безпеки, надійності та доступності.
2026-04-12 · Caiioo Team
Генеральний директор Salesforce Марк Беніофф придбав окремий комп'ютер лише для того, щоб протестувати OpenClaw — ШІ-агента з відкритим кодом, якого OpenAI, за повідомленнями, викупила за 1–5 мільярдів доларів. Його вердикт? Йому не можна довіряти.
«OpenClaw — це чудово. Але це не рівень корпоративних стандартів», — сказав Беніофф. «Тут бракує довіри, безпеки, надійності та доступності».
Подальші дослідження безпеки підтвердили його правоту — і проблеми виявилися глибшими, ніж більшість людей усвідомлює.
Вразливості не є теоретичними
Відтоді як OpenClaw став вірусним, дослідники безпеки зафіксували вражаючу серію реальних експлуатацій:
- CVE-2026-25253 (CVSS 8.8): Вразливість віддаленого виконання коду в один клік через невалідовані з'єднання WebSocket в інтерфейсі керування. Того ж дня було виявлено ще дві вади впровадження команд.
- ClawJacked (Oasis Security): Будь-який вебсайт може непомітно отримати повний контроль над агентом OpenClaw за допомогою JavaScript — обмежувач швидкості не поширюється на localhost, що дозволяє підбір паролів методом перебору.
- Понад 42 900 відкритих інстансів виявлено командою STRIKE компанії SecurityScorecard, з яких 15 200 вразливі до віддаленого виконання коду. Bitsight незалежно підтвердила наявність понад 30 000 відкритих інстансів під час двотижневого сканування.
- 1 184 шкідливих навичок у ClawHub — 12% від усього реєстру навичок. 335 із них встановлювали Atomic Stealer (AMOS), інфостілер для macOS, який викрадав ключі API, криптовалютні гаманці, облікові дані SSH та паролі браузера.
- 7,1% навичок ClawHub розкривають облікові дані у відкритому тексті через контекстне вікно LLM, згідно з аудитом Snyk. Відсутня ізоляція облікових даних між навичками — одна навичка може зчитувати секрети, встановлені іншою.
Cisco, Microsoft та CrowdStrike опублікували відповідні застереження. У блозі з безпеки Microsoft зазначено, що агенти OpenClaw «за замовчуванням запускаються з привілеями користувача хоста без належної пісочниці».
Архітектурна першопричина
Проблеми безпеки OpenClaw — це не просто баги, які можна виправити патчами, це наслідки його архітектури:
Шлюз за замовчуванням прив'язується до всіх мережевих інтерфейсів (0.0.0.0:18789), відкриваючи агента для всієї локальної мережі. Це єдине проектне рішення спричинило масове розкриття даних, задокументоване SecurityScorecard та Bitsight.
Усі потоки даних проходять через централізований процес Шлюзу, який керує повідомленнями, автентифікацією, сесіями та диспетчеризацією. Компрометація Шлюзу дає доступ до кожного облікового запису, кожної розмови та кожного підключеного сервісу — електронної пошти, хмарних API, месенджерів та внутрішніх систем.
Відсутність підтвердження дій агента користувачем. OpenClaw виконує команди оболонки, читає та записує файли, а також запускає скрипти як частину своєї основної логіки. Шкідливі навички використовували ін'єкції промптів, щоб обійти перевірки безпеки та непомітно виконувати команди.
Відсутність ізоляції облікових даних. Ключі API зберігаються у змінних середовища та файлі .clawdbot/.env, доступному для кожної навички в контексті агента. Одна шкідлива навичка може викрасти всі секрети, до яких має доступ агент.
Чим архітектура Caiioo відрізняється
Caiioo та OpenClaw обидва є local-first, обидва працюють за принципом BYOK та є незалежними від провайдерів. Різниця не в тому, до чого вони підключаються, а в тому, як вони керують довірою, прозорістю та контролем користувача.
Кожен запис, надсилання або видалення потребує явного схвалення
Caiioo використовує трирівневу систему схвалення для будь-якого інструменту, який може записувати, змінювати, надсилати або видаляти дані (інструменти лише для читання, такі як пошук, перегляд та узагальнення, працюють без перерв):
- Approve Once — дозволити одне виконання, потім запитати знову
- Approve for Conversation — дозволити лише в межах цієї гілки, скинути після завершення розмови
- Always Approve — постійний глобальний дозвіл (відображається червоним для інструментів високого ризику)
Схвалення є блокуючим — агент чекає на вашу відповідь. Для інструментів із побічними ефектами не існує прапорця «auto-run». Зовнішні MCP інструменти без метаданих за замовчуванням потребують схвалення (fail-secure). Кожен інструмент має рівень ризику (низький/середній/високий) з кольоровим маркуванням попереджень у діалозі схвалення.
Повна прозорість у реальному часі
Кожен виклик інструменту з'являється на бічній панелі зі своїм статусом: очікує, очікує схвалення, виконується, успішно завершено або помилка. Ви бачите саме те, що робить агент, які аргументи він передає та які результати отримав — у процесі роботи. Ви можете прочитати намір, розгорнути необроблені деталі та прийняти зважене рішення перед тим, як щось буде виконано.
Негайна зупинка в будь-який момент
Caiioo перевіряє сигнали переривання в кількох точках: між виконаннями інструментів, під час очікування схвалення та всередині тривалих операцій. Натисніть «stop», і агент зупиниться, скасує очікувані схвалення та закриє всі активні сесії браузера. Жодних покинутих процесів, жодного неконтрольованого виконання.
Відсутність централізованого шлюзу
У Caiioo немає аналога Gateway в OpenClaw. Ваш пристрій спілкується безпосередньо з обраним вами AI провайдером — Anthropic, Google, OpenRouter, Ollama або будь-яким іншим. Caiioo ніколи не перехоплює, не проксіює і не зберігає ваші API виклики. Не існує єдиної точки компрометації, яка успадковує всі ваші облікові дані.
Ізоляція облікових даних за замовчуванням
API ключі зберігаються в безпечному сховищі браузера (або Keychain на macOS/iOS), а не в конфігураційних файлах у відкритому тексті. Інструменти мають доступ лише до тих облікових даних, які їм потрібні. Не існує спільного глобального контексту, де один інструмент міг би прочитати секрети іншого інструменту.
Спробуйте Caiioo
Якщо ви оцінюєте ШІ-агентів для професійного використання, питання не в тому, чи є агент потужним, а в тому, чи можна йому довіряти. Caiioo надає вам ті самі можливості ШІ з контролем схвалення, прозорістю в реальному часі та архітектурою, яка не створює єдиної точки відмови.
Почніть безкоштовно — доступно як розширення для браузера, нативний додаток для macOS та десктопний додаток для Windows і Linux.
Джерела: