С момента запуска в ноябре OpenClaw — ИИ-агент австрийского разработчика Петера Штайнбергера — быстро собрал вокруг себя большую аудиторию. Этот цифровой помощник умеет использовать компьютер пользователя для сложных задач, которые еще недавно требовали участия человека. Но у такого скачка в продуктивности есть и обратная сторона.
OpenClaw оказался находкой не только для пользователей, но и для хакеров. Одна из критических уязвимостей, получившая название ClawJacked, позволяла злоумышленникам перехватывать управление агентом — для этого было достаточно заманить человека на вредоносный сайт. Эту дыру уже закрыли, но исследователи успели найти в программе более 40 тысяч уязвимостей.
Сильнее всего OpenClaw сегодня одновременно восхищает и тревожит Китай. Быстрое распространение агента уже сказалось на котировках крупных местных IT-компаний, а власти начали предупреждать госорганы и государственные корпорации — включая некоторые крупнейшие банки страны — не устанавливать OpenClaw на рабочие устройства.
Что такое OpenClaw
OpenClaw — это ИИ-помощник, который можно развернуть на компьютере или даже смартфоне. Похожие агентные инструменты есть и у OpenAI, и у Anthropic: они тоже умеют брать на себя пользовательские задачи. Но есть важная разница. Крупные компании не дают клиентам менять внутренние параметры своих агентов, тогда как OpenClaw распространяется как open-source проект. Это дает пользователям гораздо больше свободы: сервис можно гибко настраивать, дорабатывать и приспосабливать под свои сценарии — в том числе довольно смелые и не всегда безопасные.
Еще одна особенность OpenClaw в том, что он работает с данными прямо на устройстве пользователя — на компьютере или смартфоне, — а не только через облачную инфраструктуру, как многие популярные ИИ-сервисы. Именно это делает его одновременно и более гибким, и более рискованным инструментом.
Проект создал Петер Штайнбергер, хорошо известный в Apple-сообществе разработчик. Сервис успел сменить несколько названий — от Clawdbot до Moltbot, — прежде чем окончательно стать OpenClaw. На фоне быстро растущего интереса к ИИ-агентам проект быстро сформировал вокруг себя гигантское сообщество с тысячами участников.
Сам Штайнбергер позже перешел в OpenAI, где теперь разрабатывает новое поколение агентных систем. OpenClaw при этом остался самостоятельным проектом и развивается отдельно, под управлением некоммерческого фонда.
Как работает OpenClaw
OpenClaw встраивается в привычные мессенджеры — WhatsApp, Telegram, WeChat, Discord, Slack и Signal. За счет этого пользователю не нужно осваивать отдельный интерфейс: агент живет там, где человек и так уже общается и работает.
Для запуска OpenClaw нужны базовые технические навыки, но после настройки управлять им можно обычными командами на естественном языке прямо через эти приложения. Агент запоминает контекст, учитывает предпочтения и историю взаимодействий, а со временем все точнее подстраивается под конкретного пользователя и его сценарии работы.
При этом OpenClaw умеет не только отвечать в чате. Он может выполнять команды на компьютере, читать файлы, устанавливать программы и вести многошаговые процессы сразу в нескольких приложениях — от мессенджеров до офисного и рабочего софта.
Отдельная причина его популярности — гибкость. Технически подкованные пользователи могут получить доступ к коду OpenClaw и обучать его новым «навыкам», расширяя круг задач, которые агент способен выполнять. Кроме того, OpenClaw можно подключать к другим ИИ-моделям и использовать их возможности. У крупнейших игроков рынка тоже есть мощные агентные системы, но по гибкости и глубине настройки они, как правило, уступают OpenClaw.
Что умеет OpenClaw
По словам пользователей, OpenClaw может взять на себя вполне прикладные задачи: заказать билет на самолет или такси до аэропорта, назначить встречу, разобрать переполненную почту и вытащить из нее действительно важные письма. Кроме того, агент умеет ходить по сайтам, анализировать файлы и документы — от PDF и таблиц до больших массивов кода — а затем делать выжимки, формулировать следующие шаги или выполнять их сам на основе содержания.
Пользователи адаптируют сервис под конкретные рабочие роли. Например, превращают его в маркетологов, контент-стратегов или менеджеров по закупкам и товарным остаткам. В отдельных сценариях OpenClaw может даже вести переговоры о цене с продавцами.
Почему OpenClaw стал популярен в Китае
В Китае OpenClaw быстро перестал быть просто модной ИИ-новинкой и почти сразу превратился в рыночный тренд. Крупнейшие облачные компании страны — Tencent, Alibaba и Baidu — начали предлагать его клиентам в формате почти «однокнопочного» развертывания. Местные ИИ-компании тоже подхватили волну: OpenClaw для них стал способом нарастить использование собственных платформ.
Интерес подогревают и власти. В таких технологических центрах, как Шэньчжэнь, Уси и Хэфэй, уже объявили субсидии до 2 млн юаней на проекты и оборудование, связанные с OpenClaw. В результате вокруг него в Китае очень быстро сложилась не только медийная шумиха, но и вполне оформленный рынок с деньгами, инфраструктурой и политической поддержкой.
Почему OpenClaw вызывает столько опасений
Для части экспертов по кибербезопасности OpenClaw выглядит как потенциальная катастрофа. В марте несколько китайских госструктур и банков выпустили официальные предупреждения о рисках, связанных с этим агентом. Среди основных угроз они называли кражу данных и так называемые prompt injection-атаки — сценарии, в которых злоумышленник подсовывает ИИ специальные инструкции и вынуждает его выполнять несанкционированные действия.
Отдельная проблема в том, что для OpenClaw можно создавать новые «навыки». И если одни расширения добавляют полезные функции, то другие теоретически могут использоваться для скрытой установки вредоносного ПО или сбора личных данных пользователя и его контактов. Как отмечают специалисты по безопасности, OpenClaw сочетает в себе почти все признаки системы повышенного риска: у него есть доступ к приватным данным, возможность взаимодействовать с внешним миром и постоянный контакт с недоверенным контентом.
И в этом, по сути, главный парадокс агентного ИИ. Чтобы такой помощник был действительно полезным, ему нужно знать о пользователе как можно больше и иметь доступ к разным приложениям и сервисам. Но именно это и делает его особенно привлекательной целью для кибератак.
История с уязвимостью ClawJacked хорошо показала масштаб возможных последствий. Если систему удавалось скомпрометировать, атакующие могли читать файлы, красть пароли, опустошать криптокошельки и получать доступ к чувствительной переписке.
Тревогу вызывает и сама модель ответственности. В отличие от закрытых ИИ-платформ, которые работают внутри корпоративных и регуляторных рамок, OpenClaw развивается как децентрализованный проект. На практике это означает, что значительная часть ответственности за безопасность ложится на самого пользователя, а единого центра, который мог бы жестко навязывать защитные механизмы, здесь нет.
Именно поэтому стремительное распространение OpenClaw в Китае уже запустило дискуссию о регулировании. Власти пытаются понять, насколько опасным может быть массовый ИИ-агент, который работает вне привычных корпоративных и государственных контуров контроля.
Сам создатель OpenClaw Петер Штайнбергер не скрывает, что и сам продукт, и его безопасность пока далеки от завершенного состояния. По его словам, проект все еще активно дорабатывается, хотя благодаря открытому коду, большому интересу и вкладу сообщества прогресс идет быстро.
При этом Штайнбергер считает, что многие проблемы возникают из-за того, что пользователи игнорируют рекомендации по безопасной настройке. Он, впрочем, признает и главное: полностью безопасной конфигурации у OpenClaw нет. По его словам, проект в первую очередь рассчитан на технически подготовленных людей, которые понимают риски, связанные с большими языковыми моделями.
Есть ли у OpenClaw конкуренты
Рынок ИИ-агентов сейчас быстро разрастается, и OpenClaw в нем далеко не единственный игрок. На одном конце — более «легкие» NanoClaw, Nanobot и NullClaw. Такие решения требуют меньше вычислительных ресурсов и проще в запуске.
На другом полюсе — агенты внутри крупных американских ИИ-экосистем. Речь о Operator от OpenAI, Claude Code от Anthropic и Project Mariner от Google. Это тоже мощные инструменты, но они устроены заметно более закрыто: разработчики не могут свободно залезать в код и настраивать их под себя так же глубоко, как OpenClaw.
Есть и специализированные решения, заточенные под бизнес-задачи, — например, AWS Bedrock Agents от Amazon. Параллельно ИИ-помощники все чаще появляются и в отдельных устройствах вроде Humane и Rabbit.
