Неделю назад OpenClaw тихо обогнал React и стал самым звёздным проектом на GitHub. Миллионы людей говорят, что он изменил то, как они работают. А потом Google начал банить подписчиков, которые им пользуются, security-команда Cisco выпустила разбор со словом "кошмар", и история резко стала интереснее. Все три факта уживаются вместе из-за одного проектного решения: чтобы вообще хоть что-то делать, OpenClaw нужен полный доступ к машине. В этом весь продукт. И в этом же вся проблема.
Я веду 62 подписки в Azure и выкатывал деплои под звук сирен воздушной тревоги за окном. Поэтому когда настолько мощный инструмент просит настолько много, я не радуюсь первым делом. Я первым делом читаю права доступа.
Что такое OpenClaw на самом деле
Если убрать хайп, OpenClaw — это AI-агент, который живёт поверх всего, что вы делаете на компьютере. Он смотрит на экран, читает файлы, понимает контекст и действует за вас. Его всё называют "тем, чем должен был стать Apple Intelligence", и, честно говоря, это недалеко от правды. Он работает. Он реально полезен так, как большинство AI-инструментов только обещают.
Но чтобы так работать, ему нужно всё:
- Захват экрана — он видит то же, что видите вы
- Доступ к файловой системе — читает ваши документы, ключи, код
- Мониторинг буфера обмена — каждый скопированный пароль проходит через него
- Инспекция сетевого трафика — он смотрит, что уходит с машины
Вот неудобная правда, которую восторженные обзоры обходят стороной: функции, которые делают его полезным, — это и есть поверхность атаки. Каждая возможность, которая делает OpenClaw мощным, — та же самая, что делает его опасным. Нет версии, где он одновременно полностью полезен и полностью безопасен, потому что польза берётся ровно из доступа.
Настоящая опасность: prompt injection с вашими правами
Команда Cisco описала сценарий без обиняков. Агент работает полностью без песочницы — ноль изоляции, ноль ограничений. Он выполняется с вашими правами на вашей машине, рядом с вашими учётными данными.
Теперь представьте prompt injection. Не взлом в голливудском смысле — просто вредоносную инструкцию, спрятанную внутри письма, которое вы открыли, или страницы, которую посетили. Агент читает эту инструкцию так, будто она пришла от вас, и выполняет её. С вашим доступом к файлам. С вашим буфером обмена. С вашей сетью. Никакой песочницы, чтобы удержать ущерб, — ведь вся философия дизайна как раз в том, чтобы убрать песочницу и стать полезным.
Вот момент, на котором любой инженер должен притормозить. Обычному вредоносу нужно сначала пробраться внутрь. А OpenClaw приглашают сами, отдают ключи и доверяют любому тексту, который ему попадётся. Одного грамотно составленного письма достаточно.
Почему Google начал банить пользователей
Google ограничивает подписчиков не потому, что ненавидит инструмент. Всё механически. OpenClaw отправляет содержимое экрана в inference-API со скоростью тысячи скриншотов в час, чтобы удерживать контекст. Ваши пароли, исходники, внутренние документы — всё это непрерывно течёт через внешние endpoint'ы, которые вы не контролируете.
Со стороны Google этот паттерн выглядит как злоупотребление API и риск утечки данных, поэтому они реагируют. С вашей стороны вопрос проще и важнее: вам комфортно, что вся ваша рабочая жизнь непрерывно транслируется через третью сторону в таком объёме — весь день, каждый день?
Паттерн не меняется никогда
Я видел это кино достаточно раз, чтобы знать сюжет. В tech последовательность всегда одна:
- Сначала выходит революционная возможность.
- Security догоняет вторым.
- Разрыв между ними — это место, где случается ущерб.
OpenClaw — учебный пример. 800 очков на Hacker News, первое место на GitHub, миллионы установок — а security-аудит пришёл после массового внедрения, а не до. Звёзды — не аудит. Популярность — не доказательство безопасности. Репозиторий может быть самым любимым проектом в мире и всё равно быть скверной штукой для запуска рядом с боевыми доступами.
Выживут в ближайшие годы те инженеры, кто видит этот разрыв ясно и действует, а не ставит всё, что в трендах.
Что я реально советую сделать
Я не говорю, что инструмент — зло. Это не так. Это настоящий скачок возможностей. Но всё решает контекст:
- Если вы экспериментируете лично на домашней машине, где на экране нет ничего чувствительного, — вперёд, изучайте, но понимайте, что именно вы отдаёте.
- Если вы отвечаете за enterprise-инфраструктуру или трогаете production — не ставьте это на рабочую машину. Точка. Не "наверное, нет". Не "аккуратно". Нет.
В следующий раз, когда любой AI-инструмент попросит полный доступ к машине, прочитайте список прав до того, как нажмёте "принять". А потом решите, стоит ли "самый звёздный на GitHub" ваших учётных данных. Иногда лучшее инфраструктурное решение за весь год — тихое, скучное нет.
Так что вот мой настоящий вопрос: что ваш текущий AI-инструмент прямо сейчас видит на вашей машине? Если вы не знаете ответа — с этого и стоит начать.