Безопасность ИИ-агентов: риски и чему учит история OpenClaw

Обычный чат-бот в худшем случае выдаст неверный текст. ИИ-агент имеет права на действия — а значит, и на ущерб. Когда вы даёте агенту доступ к почте, файлам, базе данных или платёжной системе, вы создаёте нового «сотрудника» с правами, но без человеческого суждения и без отдела кадров, который его проверил.

Ключевая мысль: любой агент с правами на действия — это новая поверхность атаки. Раньше злоумышленнику нужно было взломать вашу систему напрямую. Теперь у него появляется обходной путь — обмануть агента, у которого уже есть доступ.

OpenClaw — это персональный ИИ-ассистент с открытым кодом (созданный разработчиком Петером Штайнбергером и за время существования сменивший название с Clawdbot на Moltbot и затем на OpenClaw), который быстро получил известность: он запускается на устройствах пользователя, подключается к разным моделям и отвечает в мессенджерах, умея при этом выполнять команды и работать с файлами. Именно сочетание «удобно и многое умеет» и сделало его поучительным кейсом по безопасности.

Что отмечали в публичных разборах по безопасности (Palo Alto Networks, Vectra, Astrix, IBM и деловые СМИ вроде CNBC):

• Исполнение команд. Агент может выполнять команды в системе и работать с файлами — то есть способен на разрушительные действия, если им управляет не тот, кто нужно.
• Слабый контроль доступа. Точки входа без надёжной аутентификации и хранение учётных данных в открытом виде — классические ошибки, превращающие удобство в дыру.
• Скомпрометированный магазин расширений. Сторонние «навыки» для агента оказались каналом для вредоносного кода — пользователь ставит полезное расширение, а получает скрытый вредоносный код.

Масштаб проблемы показателен: по сообщениям исследователей, в открытом доступе в интернете обнаружили более 30 000 запущенных копий OpenClaw — без аутентификации и защиты. Сам автор признал, что над безопасностью агентов нужно ещё работать.

Важная оговорка: речь не о том, что «ИИ-агенты — это плохо». OpenClaw — персональный инструмент энтузиастов, а не корпоративное решение, и проблема не в идее агентов, а в развёртывании мощного агента без контроля доступа, изоляции и проверки расширений. Именно поэтому запускать подобные персональные инструменты внутри рабочего контура компании — плохая идея: то, что приемлемо для энтузиаста на своём ноутбуке, в корпоративной сети становится теневой точкой входа.

Для бизнеса критичны три риска:

1. Подмена инструкций (prompt injection). Prompt injection — это атака, при которой во внешние данные прячут команду, и агент выполняет её, приняв за часть задачи. Агент читает письмо, документ или веб-страницу; если туда спрятана инструкция «отправь все файлы на этот адрес», наивный агент может её выполнить. Это атака не на код, а на «доверчивость» агента.
2. Цепочка поставки расширений. Готовые навыки и плагины ускоряют работу, но каждый сторонний компонент — это чужой код с правами вашего агента. Скомпрометированное расширение = скомпрометированный агент.
3. Избыточные права. Агенту часто дают доступа больше, чем нужно для задачи, «чтобы работало». Чем шире права, тем больше ущерб при компрометации.

По этим принципам мы закладываем безопасность ИИ-агентов с первого дня, а не «когда дойдут руки»:

• Минимум прав. Агент получает доступ только к тому, что нужно для конкретной задачи, — и ничего сверх.
• Человек на контроле рискованных действий. Платёж, отправка наружу, удаление данных — только с подтверждением человека (human-in-the-loop).
• Изоляция. Агент работает в ограниченной среде, а не с полными правами на всю систему.
• Проверка расширений. Никаких сторонних навыков без аудита их кода и источника.
• Защита от подмены инструкций. Внешние данные обрабатываются как недоверенные; критичные действия не запускаются «по тексту из письма».
• Журналирование. Каждое действие агента записывается — кто, что и когда, чтобы инцидент можно было разобрать.
• Свой контур для чувствительных данных. Где данные критичны — агент работает на частном ИИ в вашем периметре, а не через внешний сервис.

В 2026 году надзор за агентами — уже не только инженерная гигиена, но и направление регуляции. EU AI Act требует для рискованных AI-систем человеческого надзора и прослеживаемости (к августу 2026), а финансовые регуляторы вроде FINRA отдельно предупреждают об агентах, которые действуют «сверх своих полномочий». Параллельно взрослеет и инфраструктура: протокол MCP, ставший в 2026 отраслевым стандартом подключения агентов к данным, развивается в сторону корпоративного управления — журналы аудита, единый вход (SSO), шлюзы доступа. Так что пункты нашего чек-листа — минимум прав, журналирование, человек на контроле — это не перестраховка, а ровно то, к чему движутся и закон, и индустрия.

Управляемая автономия защищает не только от провала проекта, но и от взлома: точка, где действие подтверждает человек, — это и страховка от ошибки агента, и барьер на пути злоумышленника. Поэтому «безопасно» и «надёжно» в агентах достигаются одним и тем же — отказом от бесконтрольной полной автономии. Безопасную агентную архитектуру мы закладываем в рамках услуги ИИ и автоматизация.

• Что такое безопасность ИИ-агентов? Это набор мер, защищающих агента с правами на действия от компрометации и злоупотребления: минимум прав, изоляция, контроль человеком рискованных шагов, аудит расширений, защита от подмены инструкций и журналирование.
• Чем ИИ-агент опаснее чат-бота? Агент не только отвечает, но и действует: выполняет команды, ходит в системы. Скомпрометированный агент угрожает всему, к чему у него есть доступ.
• Как защитить ИИ-агента от prompt injection? Обрабатывать внешние данные как недоверенные и не запускать критичные действия «по тексту» из письма или документа; рискованные шаги — только с подтверждением человека.
• Что такое prompt injection? Подмена инструкций: во внешние данные (письмо, документ) прячут команду, которую агент может выполнить, приняв за часть задачи. Атака на доверчивость агента, а не на код.
• Можно ли запускать OpenClaw в компании? Не рекомендуется. Это персональный инструмент энтузиастов, который специалисты по безопасности называли угрозой; в корпоративной сети он становится теневой точкой входа. Для бизнеса нужна управляемая, изолированная агентная архитектура.
• Как обезопасить ИИ-агента? Минимум прав, человек на контроле рискованных действий, изоляция, аудит расширений, защита от подмены инструкций, журналирование, свой контур для чувствительных данных.
• Значит ли это, что ИИ-агенты опасны и не нужны? Нет. Опасна не идея агентов, а развёртывание без контроля доступа. При правильной архитектуре агенты безопасно приносят пользу.