Тиждень тому OpenClaw тихо обійшов React і став найзірковішим проєктом на GitHub. Мільйони людей кажуть, що він змінив те, як вони працюють. А потім Google почав банити підписників, які ним користуються, security-команда Cisco випустила розбір зі словом "кошмар", і історія різко стала цікавішою. Усі три факти уживаються разом через одне проєктне рішення: щоб узагалі хоч щось робити, OpenClaw потрібен повний доступ до машини. У цьому весь продукт. І в цьому ж уся проблема.
Я веду 62 підписки в Azure і викочував деплої під звук сирен повітряної тривоги за вікном. Тому коли настільки потужний інструмент просить настільки багато, я не радію першим ділом. Я першим ділом читаю права доступу.
Що таке OpenClaw насправді
Якщо прибрати хайп, OpenClaw — це AI-агент, який живе поверх усього, що ви робите на комп'ютері. Він дивиться на екран, читає файли, розуміє контекст і діє за вас. Його всі називають "тим, чим мав стати Apple Intelligence", і, чесно кажучи, це недалеко від правди. Він працює. Він справді корисний так, як більшість AI-інструментів лише обіцяють.
Але щоб так працювати, йому потрібно все:
- Захоплення екрана — він бачить те саме, що й ви
- Доступ до файлової системи — читає ваші документи, ключі, код
- Моніторинг буфера обміну — кожен скопійований пароль проходить крізь нього
- Інспекція мережевого трафіку — він дивиться, що йде з машини
Ось незручна правда, яку захоплені огляди оминають: функції, що роблять його корисним, — це й є поверхня атаки. Кожна можливість, яка робить OpenClaw потужним, — та сама, що робить його небезпечним. Немає версії, де він водночас повністю корисний і повністю безпечний, бо користь береться рівно з доступу.
Справжня небезпека: prompt injection з вашими правами
Команда Cisco описала сценарій без манівців. Агент працює повністю без пісочниці — нуль ізоляції, нуль обмежень. Він виконується з вашими правами на вашій машині, поруч із вашими обліковими даними.
Тепер уявіть prompt injection. Не злам у голлівудському сенсі — просто шкідливу інструкцію, сховану всередині листа, який ви відкрили, чи сторінки, яку відвідали. Агент читає цю інструкцію так, ніби вона надійшла від вас, і виконує її. З вашим доступом до файлів. З вашим буфером обміну. З вашою мережею. Жодної пісочниці, щоб стримати шкоду, — адже вся філософія дизайну якраз у тому, щоб прибрати пісочницю й стати корисним.
Ось момент, на якому будь-який інженер має пригальмувати. Звичайному шкідливому ПЗ треба спершу пробратися всередину. А OpenClaw запрошують самі, віддають ключі й довіряють будь-якому тексту, що йому трапиться. Одного грамотно складеного листа досить.
Чому Google почав банити користувачів
Google обмежує підписників не тому, що ненавидить інструмент. Усе механічно. OpenClaw надсилає вміст екрана в inference-API зі швидкістю тисячі скриншотів на годину, щоб утримувати контекст. Ваші паролі, вихідники, внутрішні документи — усе це безперервно тече крізь зовнішні endpoint'и, які ви не контролюєте.
З боку Google цей патерн виглядає як зловживання API та ризик витоку даних, тож вони реагують. З вашого боку питання простіше й важливіше: вам комфортно, що все ваше робоче життя безперервно транслюється крізь третю сторону в такому обсязі — цілий день, щодня?
Патерн не змінюється ніколи
Я бачив це кіно достатньо разів, щоб знати сюжет. У tech послідовність завжди одна:
- Спершу виходить революційна можливість.
- Security наздоганяє другим.
- Розрив між ними — це місце, де стається шкода.
OpenClaw — хрестоматійний приклад. 800 очок на Hacker News, перше місце на GitHub, мільйони встановлень — а security-аудит прийшов після масового впровадження, а не до. Зірки — не аудит. Популярність — не доказ безпеки. Репозиторій може бути найулюбленішим проєктом у світі й усе одно бути кепською штукою для запуску поруч із бойовими доступами.
Виживуть найближчими роками ті інженери, хто бачить цей розрив ясно й діє, а не ставить усе, що в трендах.
Що я реально раджу зробити
Я не кажу, що інструмент — зло. Це не так. Це справжній стрибок можливостей. Але все вирішує контекст:
- Якщо ви експериментуєте особисто на домашній машині, де на екрані немає нічого чутливого, — уперед, вивчайте, але розумійте, що саме ви віддаєте.
- Якщо ви відповідаєте за enterprise-інфраструктуру чи торкаєтеся production — не ставте це на робочу машину. Крапка. Не "мабуть, ні". Не "обережно". Ні.
Наступного разу, коли будь-який AI-інструмент попросить повний доступ до машини, прочитайте список прав до того, як натиснете "прийняти". А потім вирішіть, чи вартий "найзірковіший на GitHub" ваших облікових даних. Іноді найкраще інфраструктурне рішення за весь рік — тихе, нудне ні.
Тож ось моє справжнє питання: що ваш поточний AI-інструмент просто зараз бачить на вашій машині? Якщо ви не знаєте відповіді — саме з цього й варто почати.