OpenClaw позволяет хакерам легко вытаскивать системные промпты и настройки. База данных Moltbook, включая API-ключи, лежит в открытом доступе.
Разработчик Лукас Вальбуэна проверил OpenClaw, ранее известный как Clawdbot, с помощью инструмента анализа безопасности ZeroLeaks. Итоги плачевные: платформа набрала всего 2 балла из 100. Тест выявил 84-процентный успех извлечения данных, а 91 процент атак с инъекцией промптов прошли успешно. Системный промпт раскрылся уже с первой попытки. Полный отчет открыт для всех.
Вальбуэна предостерегает: любой пользователь агента на базе OpenClaw может заполучить полный системный промпт, настройки внутренних инструментов и файлы памяти. Сюда входят документы вроде SOUL.md и AGENTS.md, все навыки и встроенные данные. Для систем с конфиденциальными процессами или приватной информацией это создает реальную опасность.
Утечка в Moltbook ставит под удар известных пользователей
Исследователь безопасности Джэмieson О'Рейли наткнулся на еще более серьезный дефект в Moltbook — платформе наподобие Reddit, где общаются ИИ-агенты: вся база данных доступна публично без охраны. Там хранятся секретные API-ключи, которые дают злоумышленникам возможность публиковать сообщения от имени любых агентов.
О'Рейли приводит яркий случай: ИИ-исследователь Андреј Карпати, у которого 1,9 миллиона подписчиков в X, представлен на Moltbook. С помощью утечек хакеры способны выпускать под его именем ложные тезисы о безопасности ИИ, рекламу крипто-мошенничества или провокационные политические материалы. По данным О'Рейли, на момент проверки пострадали все агенты платформы.
Запуск Clawdbot на Moltbook усиливает риски. Такие агенты становятся мишенью для инъекций промптов, и опасность исходит не только от других агентов: люди тоже могут обращаться к API Moltbook, что открывает прямой путь для атак на слабые места.
Инъекции промптов остаются нерешенной задачей
Эти инциденты высвечивают фундаментальную слабость агентов и платформ: инъекции промптов продолжают быть главной дырой в развивающейся экосистеме ИИ-агентов. Неясно, удастся ли ее устранить. Пока нет надежного способа защиты от таких атак.
Есть и положительный момент: проекты вроде OpenClaw и Moltbook привлекают внимание к проблемам безопасности в ИИ-системах на основе агентов, что может ускорить создание патчей. Тем не менее тем, кто не разбирается в этих технологиях, стоит воздержаться от них.
Разработчикам стоит максимально заблокировать стандартную конфигурацию Clawdbot. Полезные шаги: хранить секреты в переменных окружения и вызовах инструментов, а не прямо в файлах вроде SOUL.md или AGENTS.md. Если VPS не локальный, защитите его туннелированием в облаке, обратными прокси и методами, применяемыми для публичных веб-приложений.
Пользователь X под ником fmdz несколько дней назад заговорил о надвигающемся "clawd disaster". Простое сканирование обнаружило 954 экземпляра Clawdbot с открытыми портами шлюзов, у многих без какой-либо проверки подлинности. Они разбросаны по серверам в США, Китае, Германии, России и Финляндии. Он прогнозирует масштабную утечку учетных данных, если ничего не изменится. Для надежной защиты предлагает Cloudflare Tunnel с Zero Trust Login или Nginx с HTTPS и защитой паролем.