Бурное распространение ИИ-помощников, таких как OpenClaw, обгоняет меры безопасности, делая организации уязвимыми для взломов. По состоянию на начало 2026 года, более 500 000 экземпляров OpenClaw работают без централизованного управления или механизма экстренной остановки. Отсутствие надзора уже привело к одному подтверждённому случаю, когда экземпляр OpenClaw генерального директора был продан на BreachForums вместе с конфиденциальными данными, учётными данными и доступом в реальном времени.
Основная проблема — автономия: ИИ-агентам предоставляются разрешения, значительно превышающие те, что даются сотрудникам, игнорируя принципы нулевого доверия. OpenClaw работает локально с полным доступом к файлам, сетям и приложениям, храня данные в незашифрованном виде. Это облегчает злоумышленникам извлечение ценной информации, включая сеансы SSO, API-ключи и личные финансовые данные.
Масштаб Проблемы:
- Количество экземпляров взлетело с 6 300 до почти 500 000 всего за несколько месяцев.
- Три критические уязвимости (CVE-2026-24763, CVE-2026-25157, CVE-2026-25253) остаются неисправленными на большинстве систем из-за отсутствия централизованного управления.
- CrowdStrike обнаруживает более 160 миллионов уникальных экземпляров ИИ среди своей клиентской базы, при этом вредоносные «навыки», такие как ClawHavoc, становятся серьёзным риском для цепочки поставок.
Критическим является неспособность наблюдать, ориентироваться, принимать решения и действовать (цикл OODA). Большинство организаций даже не могут определить, какие ИИ-инструменты работают в их сетях, что позволяет неконтролируемому «теневому ИИ» распространяться. Листинг на BreachForums демонстрирует исход: централизованный разведывательный центр для злоумышленников, доступный через скомпрометированного помощника генерального директора.
Реакция Вендоров и Необходимость Контроля:
Cisco, Palo Alto Networks и Cato Networks начали выпускать инструменты для решения этой проблемы. Cisco запустила DefenseClaw, фреймворк с открытым исходным кодом для сканирования безопасности в среде исполнения NVIDIA OpenShell. Palo Alto Networks представила Prisma AIRS 3.0 с реестром агентов и мониторингом среды выполнения. Cato CTRL предоставляет враждебную валидацию через свой разведывательный отдел. Однако основная проблема остаётся: нет общесистемного выключателя.
Немедленные Действия:
- Обнаружение: Используйте инструменты обнаружения конечных точек (CrowdStrike, Cato, Cisco) или ручной поиск файлов (
~/.openclaw/) для идентификации всех экземпляров. - Исправление/Изоляция: Устраните CVE или изолируйте системы, которые не подлежат исправлению.
- Аудит Навыков: Удалите любые навыки из непроверенных источников.
- Внедрение DLP/ZTNA: Ограничьте несанкционированные ИИ-приложения с помощью мер предотвращения утечки данных и контроля доступа к сети с нулевым доверием.
- Удаление «Призрачных Агентов»: Ведите реестр всех ИИ-агентов, обосновывайте их использование и отзывайте учетные данные для тех, у которых нет законных деловых целей.
Текущая ситуация неустойчива. Организациям необходимо восстановить контроль над развёртыванием ИИ-агентов, прежде чем произойдёт больше утечек данных.
Скорость, с которой ИИ-агенты внедряются и развёртываются, сама по себе является угрозой, но неспособность внедрить базовые меры безопасности означает, что риски будут только ухудшаться.
