Перейти к основному контенту

«Лобстерная лихорадка» OpenClaw стала крупнейшим тревожным звонком в сфере безопасности Web3 в 2026 году

· 12 мин чтения
Dora Noda
Dora Noda
Software Engineer

Самый быстрорастущий репозиторий в истории GitHub только что раскрыл более 135 000 уязвимых ИИ-агентов в 82 странах — и пользователи криптовалют являются основной мишенью. Добро пожаловать в кризис безопасности OpenClaw, где гонка китайских технологических гигантов по внедрению ИИ-шлюзов столкнулась с массированной атакой на цепочку поставок, которая переписывает правила безопасности блокчейна.

Вирусный феномен, ставший кошмаром безопасности

В конце января 2026 года OpenClaw достигла беспрецедентного успеха: проект набрал более 20 000 звезд на GitHub всего за один день, став самым быстрорастущим проектом с открытым исходным кодом в истории платформы. К марту 2026 года ИИ-ассистент собрал более 250 000 звезд, а технологические энтузиасты по всему миру поспешили установить то, что казалось будущим персонального ИИ.

В отличие от облачных ИИ-ассистентов, OpenClaw работает полностью на вашем компьютере с полным доступом к вашим файлам, электронной почте и приложениям. Вы можете отправлять ему сообщения через WhatsApp, Telegram или Discord, и он работает в режиме 24/7 — выполняя команды оболочки, просматривая веб-страницы, отправляя письма, управляя календарями и совершая действия в вашей цифровой жизни — и все это запускается обычным сообщением с вашего телефона.

Предложение было неотразимым: ваш собственный персональный ИИ-агент, работающий локально, всегда доступный и бесконечно способный. Реальность оказалась гораздо опаснее.

135 000 открытых инстансов: Масштаб катастрофы безопасности

К февралю 2026 года исследователи безопасности обнаружили пугающий факт: более 135 000 инстансов OpenClaw были открыты в публичном интернете в 82 странах, при этом более 50 000 из них были уязвимы для удаленного выполнения кода (RCE). Причина? Фундаментальный недостаток безопасности в конфигурации OpenClaw по умолчанию.

OpenClaw по умолчанию привязывается к адресу 0.0.0.0:18789, что означает, что он прослушивает все сетевые интерфейсы, включая публичный интернет, а не 127.0.0.1 (только localhost), как того требуют передовые практики безопасности. Для контекста: это эквивалентно тому, чтобы оставить входную дверь настежь открытой с табличкой «входите свободно» — за тем лишь исключением, что эта дверь ведет ко всей вашей цифровой жизни.

Уязвимость «ClawJacked» сделала ситуацию еще хуже. Злоумышленники могли захватить ваш ИИ-ассистент, просто заставив вас посетить вредоносный сайт. После компрометации атакующий получает тот же уровень доступа, что и сам ИИ-агент: ваши файлы, учетные данные, данные браузера и — да — ваши криптовалютные кошельки.

Фирмы по безопасности пытались осознать масштабы проблемы. Kaspersky, Bitsight и Oasis Security выпустили срочные предупреждения. Консенсус был ясен: OpenClaw представлял собой «кошмар безопасности», включающий критические уязвимости удаленного выполнения кода, архитектурные недостатки и — что самое тревожное — крупномасштабную кампанию по отравлению цепочки поставок в его маркетплейсе плагинов.

ClawHavoc: Атака на цепочку поставок, нацеленная на криптопользователей

В то время как исследователи сосредоточились на основных уязвимостях OpenClaw, в ClawHub — маркетплейсе, созданном для удобного поиска и установки сторонних «навыков» (плагинов) для ИИ-агентов — разворачивалась более коварная угроза.

В феврале 2026 года исследователи безопасности в ходе операции под кодовым названием ClawHavoc обнаружили, что из 2 857 навыков, проверенных в ClawHub, 341 был вредоносным. К середине февраля, когда маркетплейс вырос до более чем 10 700 навыков, количество вредоносных программ увеличилось более чем вдвое — до 824, а по некоторым данным достигло 1 184 вредоносных навыков.

Механизм атаки был чрезвычайно продуманным:

  1. Фальшивые требования: 335 навыков использовали поддельные инструкции по установке необходимых компонентов, чтобы обманом заставить пользователей загрузить вредоносное ПО Atomic macOS Stealer (AMOS).
  2. Платформозависимые полезные нагрузки: На Windows пользователи загружали «openclaw-agent.zip» из скомпрометированных репозиториев GitHub; на macOS сценарии установки, размещенные на glot.io, копировались напрямую в Терминал.
  3. Сложная социальная инженерия: Документация убеждала пользователей выполнять вредоносные команды под видом легитимных шагов настройки.
  4. Единая инфраструктура: Все вредоносные навыки использовали одну и ту же командно-контрольную инфраструктуру, что указывало на скоординированную кампанию.

Основная мишень? Пользователи криптовалют.

Вредоносное ПО было разработано для кражи:

  • API-ключей бирж
  • Приватных ключей кошельков
  • Учетных данных SSH
  • Паролей браузера
  • Специфических криптоданных из кошельков Solana и трекеров кошельков

Из всех вредоносных навыков 111 были явно ориентированы на криптоинструменты, включая интеграции с кошельками Solana и трекеры криптовалют. Злоумышленники понимали, что криптопользователи, привыкшие к установке расширений для браузеров и инструментов для кошельков, станут самыми прибыльными мишенями для атак на цепочку поставок ИИ-агентов.

Гонка китайских техногигантов по внедрению

Пока исследователи безопасности выпускали предупреждения, китайские технологические гиганты увидели в этом возможность. В начале марта 2026 года Tencent, Alibaba, ByteDance, JD.com и Baidu запустили конкурирующие кампании по бесплатной установке OpenClaw, сжав конкурентную борьбу, которая обычно занимает месяцы, всего до нескольких дней.

Стратегия была ясна: использовать бесплатное развертывание для привлечения клиентов, закрепляя пользователей до того, как коммерческие ИИ-проекты масштабируются. Каждый гигант стремился стать «первым инфраструктурным контактом для следующего поколения разработчиков ИИ»:

  • Tencent запустила QClaw, интегрировав OpenClaw с WeChat, чтобы пользователи могли удаленно управлять своими ноутбуками, отправляя команды через телефоны.
  • Alibaba Cloud развернула поддержку OpenClaw на своих платформах, подключив его к своей серии моделей ИИ Qwen.
  • Volcano Engine от ByteDance представила ArkClaw, версию OpenClaw, готовую к работе «из коробки».

Ирония была очевидной: в то время как эксперты по безопасности предупреждали о 135 000 открытых инстансов и массированных атаках на цепочку поставок, крупнейшие технологические компании Китая активно продвигали массовую установку среди миллионов пользователей. Столкновение технологического энтузиазма и реальности безопасности еще никогда не было столь явным.

Проблема ИИ-агентов в Web3: когда MCP встречается с криптокошельками

Кризис OpenClaw обнажил более глубокую проблему, которую разработчики Web3 больше не могут игнорировать: ИИ-агенты всё чаще управляют ончейн-активами, а модели безопасности при этом опасно незрелы.

Model Context Protocol (MCP) — зарождающийся стандарт для подключения ИИ-агентов к внешним системам — становится шлюзом, через который ИИ взаимодействует с блокчейнами. MCP-серверы функционируют как унифицированные API-шлюзы ко всему стеку Web3, позволяя ИИ-агентам читать данные блокчейна, подготавливать транзакции и выполнять ончейн-действия.

В настоящее время большинство MCP-серверов для криптовалют требуют настройки с использованием приватного ключа, что создает единую точку отказа. Если ИИ-агент будет скомпрометирован — как это случилось с десятками тысяч экземпляров OpenClaw — злоумышленник получит прямой доступ к средствам.

Формируются две конкурирующие модели безопасности:

1. Делегированное подписание (контролируется пользователем)

ИИ-агенты подготавливают транзакции, но пользователь сохраняет исключительный контроль над подписанием. Приватный ключ никогда не покидает устройство пользователя. Это наиболее безопасный подход, но он ограничивает автономность агента.

2. Лимиты под управлением агента (Agent-Controlled Allowances)

Агенты имеют собственные ключи и получают разрешение (allowance) на траты от имени пользователей. Приватные ключи надежно управляются хостом агента, а расходы ограничены лимитами. Это обеспечивает автономную работу, но требует доверия к безопасности хоста.

Ни одна из моделей еще не получила широкого распространения. Большинство реализаций крипто-MCP по-прежнему используют опасный подход «передай агенту свой приватный ключ» — именно тот сценарий, на который рассчитывали злоумышленники ClawHavoc.

По оценкам на 2026 год, 60% криптокошельков будут использовать агентный ИИ для управления портфелями, отслеживания транзакций и повышения безопасности. Индустрия внедряет Multi-Party Computation (MPC), абстракцию аккаунта, биометрическую аутентификацию и зашифрованное локальное хранилище для защиты этих взаимодействий. Стандарты вроде ERC-8004 (разрабатываемый совместно Ethereum Foundation, MetaMask и Google) пытаются создать верифицируемую идентичность и кредитную историю для ИИ-агентов ончейн.

Но OpenClaw доказал, что эти меры защиты еще не внедрены — и злоумышленники уже эксплуатируют этот пробел.

Корпоративный ответ NVIDIA: NemoClaw на GTC 2026

По мере развития кризиса безопасности OpenClaw, NVIDIA увидела возможность. На конференции GTC 2026 в середине марта компания анонсировала NemoClaw — платформу ИИ-агентов с открытым исходным кодом, специально разработанную для корпоративной автоматизации с встроенными функциями безопасности и конфиденциальности.

В отличие от ориентированного на потребителя подхода OpenClaw «устанавливай где угодно», NemoClaw ориентирована на бизнес и предлагает:

  • Встроенные инструменты безопасности и конфиденциальности, устраняющие уязвимости, которые поразили OpenClaw
  • Корпоративную аутентификацию и контроль доступа, предотвращающие катастрофу конфигурации «открыто для всего интернета» по умолчанию
  • Мультиплатформенную поддержку, которая работает не только на чипах NVIDIA, используя фреймворки компании NeMo, Nemotron и Cosmos AI
  • Экосистему партнерства, включая переговоры с Salesforce, Google, Cisco, Adobe и CrowdStrike

Время выбрано крайне удачно. Пока «Лобстерная лихорадка» OpenClaw выявляла опасности ориентированных на потребителя ИИ-агентов, NVIDIA позиционировала NemoClaw как безопасную альтернативу корпоративного уровня, потенциально бросая вызов OpenAI на рынке бизнес-агентов ИИ.

Для Web3-компаний, создающих инфраструктуру с интеграцией ИИ, NemoClaw представляет собой потенциальное решение проблем безопасности, выявленных OpenClaw: профессионально управляемые, проверенные и защищенные развертывания ИИ-агентов, которые могут безопасно взаимодействовать с ценными блокчейн-активами.

Тревожный звонок, в котором нуждался Web3

Кризис OpenClaw — это не просто история о безопасности ИИ, это история о блокчейн-инфраструктуре.

Рассмотрим последствия:

  • Более 135 000 открытых ИИ-агентов с потенциальным доступом к криптокошелькам
  • 1 184 вредоносных плагина, нацеленных именно на пользователей криптовалют
  • Пять китайских технологических гигантов, продвигающих миллионы установок без надлежащего аудита безопасности
  • 60% криптокошельков, которые, по прогнозам, будут использовать ИИ-агентов к концу года
  • Отсутствие широко принятых стандартов безопасности для взаимодействия ИИ и блокчейна

Это момент «безопасности цепочки поставок» для Web3 — сравнимый с атакой SolarWinds в 2020 году в традиционных финансах или взломом DAO в 2016 году в криптосфере. Это обнажает фундаментальную истину: по мере того как блокчейн-инфраструктура становится более мощной и автоматизированной, поверхность атаки расширяется в геометрической прогрессии.

Реакция индустрии определит, станут ли ИИ-агенты безопасным шлюзом к функциональности Web3 или крупнейшей уязвимостью, которую когда-либо видело это пространство. Выбор между моделями делегированного подписания, лимитами агентов, решениями MPC и абстракцией аккаунта — это не просто технический вопрос, это вопрос выживания.

Что разработчикам Web3 нужно сделать прямо сейчас

Если вы строите в Web3 и интегрируете ИИ-агентов (или планируете это), вот контрольный список:

  1. Проведите аудит безопасности вашего MCP-сервера: Если вы требуете приватные ключи для доступа ИИ-агента, вы создаете векторы атак в стиле ClawHavoc
  2. Внедрите делегированное подписание: Пользователи всегда должны сохранять исключительный контроль над подписанием транзакций, даже когда ИИ подготавливает транзакции
  3. Используйте модели на основе лимитов (allowances) для автономных агентов: Если агентам нужно действовать самостоятельно, предоставьте им выделенные ключи со строгими лимитами на расходы
  4. Никогда не устанавливайте ИИ-агентов с сетевыми конфигурациями по умолчанию: Всегда привязывайтесь к localhost (127.0.0.1), если у вас нет аутентификации корпоративного уровня
  5. Относитесь к маркетплейсам ИИ-агентов как к магазинам приложений: Требуйте подписи кода, аудитов безопасности и систем репутации, прежде чем доверять сторонним навыкам (skills)
  6. Обучайте пользователей рискам ИИ-агентов: Большинство криптопользователей не понимают, что ИИ-агент функционально эквивалентен предоставлению кому-либо root-доступа к их компьютеру

Кризис OpenClaw научил нас тому, что безопасность по умолчанию важнее функций. Гонка за внедрением ИИ-агентов не может опережать гонку за их безопасностью.

Строите блокчейн-инфраструктуру, которая подключается к ИИ-агентам? BlockEden.xyz предоставляет API-инфраструктуру корпоративного уровня для более чем 40 блокчейнов с архитектурой, ориентированной на безопасность, разработанной для критически важных интеграций. Изучите наши услуги, чтобы строить на фундаменте, рассчитанном на долгое время.

Источники:

Share on Twitter