Массовое использование цифровых ассистентов несет критические риски: пользователи становятся уязвимы для утечек данных, взломов и кражи криптоактивов. Об этом предупредили специалисты CertiK.
What happens when an AI agent gets broad access before security catches up?Our latest report examines OpenClaw’s attack surface, from gateway takeover and identity bypass to prompt injection and supply chain risk. Read the full report👇https://t.co/x0RfYYic0T— CertiK (@CertiK) March 31, 2026
По их словам, «ведущим вектором атак на цепочку поставок ПО в глобальном масштабе» стал OpenClaw.
ИИ-агент выступает мостом между внешними данными и локальным исполнением, что «открывает стандартные каналы для атак». Один из них — перехват локального шлюза.
Вредоносные сайты или скрипты используют присутствие ассистента на устройстве, чтобы похищать конфиденциальные данные или выполнять несанкционированные действия.
Архитектура OpenClaw. Источник: CertiK.
Особую опасность также представляют плагины и вредоносные навыки OpenClaw, которые можно установить из локальных источников или маркетплейсов.
В отличие от традиционных вирусов, они способны манипулировать поведением агента через естественный язык, что делает их устойчивыми к обычному сканированию. После запуска такое ПО может извлечь чувствительную информацию, в том числе учетные данные криптокошелька.
В CertiK подчеркнули, что зараженные компоненты скрываются в легитимных кодовых базах и через них загружают обычные на вид URL. В итоге подобные ссылки доставляют команды оболочки или вредоносные скрипты.
Широкая сеть и рекомендации
Злоумышленники целенаправленно размещали вредоносные скиллы в различных высокоценных категориях: утилиты для Phantom, трекеры адресов, утилиты для поиска «инсайдерских» кошельков, инструменты Polymarket и интеграции Google Workspace.
«Они охватили невероятно широкий круг криптоэкосистемы, нацелившись на массовое заражение браузерных расширений-кошельков: MetaMask, Phantom, Trust Wallet, Coinbase Wallet, OKX Wallet и многих других», — добавили эксперты.
Исследователи также отметили, что действия мошенников напоминают привычные для сектора цифровых активов методы. Речь идет о социальной инженерии, обмане с помощью поддельных утилит, краже учетных данных и фишинге.
В CertiK рекомендовали обычным пользователям — не специалистам по безопасности, разработчикам или гикам — не устанавливать OpenClaw, а дождаться «более зрелых, защищенных и управляемых версий».
Проблемы OpenClaw
OpenClaw вырос из побочного продукта Clawdbot, запущенного в ноябре 2025 года. Проект быстро набрал популярность среди разработчиков и пользователей. Количество звезд на GitHub превысило 340 000.
Источник: GitHub.
В марте волна ажиотажа вокруг ИИ-агента накрыла Китай: почти 1000 человек выстроились в у штаб-квартиры Tencent для установки на свои компьютеры OpenClaw. Однако вскоре Киберцентр страны предупредил о связанных с платформой рисках, из-за чего в КНР даже появилась платная услуга удаления ИИ-агента.
У многих независимых экспертов тоже появились вопросы по поводу безопасности ПО. Уже через несколько недель после релиза специалисты Bitsight обнаружили в свободном доступе 30 000 версий OpenClaw.
Исследователи SecurityScorecard нашли 135 000 копий в 82 странах, из которых 15 200 были уязвимы для удаленного выполнения кода, отметили в CertiK.
Цифровой ассистент стал «самой проверяемой платформой с точки зрения безопасности». Проект накопил более 280 GitHub Security Advisories, 100 уязвимостей (CVE) и «череду атак на уровне экосистемы».
Напомним, в марте компания по кибербезопасности OX Security уже сообщала, что злоумышленники используют популярность OpenClaw для проведения фишинговых кампаний и кражи криптовалют у разработчиков.
