В экосистеме OpenClaw, которая представляет собой самоуправляемого ИИ-ассистента с открытым исходным кодом, ранее известного под именами Clawdbot и Moltbot, обнаружены значительные уязвимости, связанные с вредоносными расширениями. Эти расширения, размещенные в каталоге ClawHub, маскируются под полезные инструменты для автоматизации торговли криптовалютой, но на деле предназначены для кражи пользовательских данных, включая ключи от кошельков, API-креденциалы и пароли из браузеров.
Исследования, проведенные в конце января 2026 года, выявили от 14 до более чем 400 таких вредоносных элементов, в зависимости от охвата анализа. Например, отчет OpenSourceMalware указывает на не менее 230 случаев, где расширения использовались для распространения инфостилеров на платформах macOS и Windows. Это подчеркивает, насколько быстро растущая популярность OpenClaw привлекает злоумышленников, эксплуатирующих доверие пользователей к открытым репозиториям.
Серьезность ситуации высока, поскольку она затрагивает не только финансовые активы, но и общую безопасность ИИ-агентов. OpenClaw уже насчитывает более 21 000 публично доступных экземпляров в интернете, что создает обширную поверхность для атак. Кража криптовалюты может привести к прямым убыткам в тысячи долларов для отдельных пользователей, а в масштабе экосистемы это подрывает доверие к децентрализованным ИИ-инструментам.
Более того, обнаруженные уязвимости, такие как one-click remote code execution (RCE), позволяют атакующим получить полный контроль над экземпляром OpenClaw всего за миллисекунды через посещение вредоносной страницы, даже если агент запущен локально. Это не изолированный инцидент, а часть более широкой тенденции, где открытые платформы для ИИ становятся каналами для malware, аналогично прошлым проблемам с расширениями браузеров или пакетами в репозиториях вроде PyPI.
Помимо программ, ориентированных на кражу криптовалюты, в ИИ-агентах могут скрываться другие типы вредоносного ПО. Например, инфостилеры вроде Atomic Stealer, которые уже используются в этих кампаниях, легко адаптируются для сбора конфиденциальной информации, такой как корпоративные данные или личные учетные записи. Возможны маскировки под инструменты продуктивности, такие как автоматизаторы задач или анализаторы данных, которые на деле внедряют шпионское ПО для мониторинга активности или программы-вымогатели для блокировки доступа к файлам. В будущем это может эволюционировать в более сложные угрозы, включая бэкдоры для постоянного доступа или даже инструменты для социальной инженерии, где ИИ-агент сам генерирует фишинговые сообщения. Учитывая, что OpenClaw интегрируется с локальными системами, такие расширения рискуют превратить полезного ассистента в троянского коня для целевых атак на предприятия.
Последствия выходят за рамки немедленных финансовых потерь и включают долгосрочные эффекты на всю сферу ИИ. Пользователи могут столкнуться с кражей идентичности, что приведет к дополнительным атакам, таким как мошенничество с кредитами или доступ к банковским аккаунтам. На уровне экосистемы это спровоцирует ужесточение регуляций: платформы вроде ClawHub и GitHub, где размещались вредоносные навыки, вынуждены будут внедрять строгие проверки, что замедлит инновации, но повысит безопасность. Кроме того, инциденты вроде открытой базы данных в связанной сети Moltbook, где экспонировались API-ключи, демонстрируют риски для коллективных ИИ-систем, где агенты взаимодействуют друг с другом. В итоге, это может отпугнуть пользователей от open-source ИИ, перенаправив их к проприетарным решениям с лучшей модерацией.
Чтобы минимизировать риски, стоит отметить несколько практических рекомендаций, основанных на текущих отчетах. Пользователям OpenClaw следует немедленно обновить ПО до последней версии, перезапустить шлюз и ротировать токены аутентификации. Перед установкой любых расширений из ClawHub рекомендуется проверять отзывы, исходный код и избегать инструментов, требующих установки дополнительных "предварительных" пакетов. Внедрение sandboxing и мониторинг сетевой активности помогут изолировать потенциальные угрозы. В целом, этот случай подчеркивает необходимость баланса между открытостью ИИ-экосистем и их защитой, чтобы избежать эскалации подобных инцидентов в будущем.