П’ять місяців тому австрійський інженер Петер Штайнбергер запустив OpenClaw — відкритий AI‑агентний фреймворк, який він нині називає найшвидше зростаючим проєктом в історії GitHub за кількістю зірок. Попри молодий вік, репозиторій уже має десятки тисяч комітів і майже дві тисячі контриб’юторів, а сам Штайнбергер паралельно працює в OpenAI та очолює незалежну OpenClaw Foundation.
Разом із вибуховим зростанням OpenClaw отримав і інший рекорд — за обсягом уваги з боку безпекової спільноти. За перші місяці існування проєкт зібрав понад тисячу security‑advisories, причому темп надходження звітів суттєво перевищує показники таких ветеранів інфраструктури, як Linux kernel чи curl. Це створює унікальний кейс: як виглядає безпека в епоху AI‑інструментів, здатних масово генерувати знахідки, і що означає «бути вразливим», коли на тебе одночасно дивляться сотні дослідників і агентів?
Масштаб загрози в цифрах: 1 142 advisories за п’ять місяців
OpenClaw сьогодні живе в режимі постійного security‑шторму. На момент виступу Штайнбергер наводить конкретні цифри: проєкт уже отримав 1 142 security‑advisories, що в середньому становить близько 16,6 звітів на день. Для будь-якого open source‑проєкту це надзвичайний темп, а для п’ятимісячного — майже безпрецедентний.
Серед цих повідомлень 99 класифіковано як критичні. Частина advisories після верифікації публікується: наразі оприлюднено приблизно 469 звітів. Близько 60% усіх зареєстрованих проблем уже закрито — або через виправлення, або через визнання, що описаний сценарій не становить реальної загрози в типових умовах використання.
Якщо дивитися на цифри ізольовано, картина виглядає тривожною. Сотні звітів, десятки «критичних» кейсів, сотні ще не опрацьованих — усе це легко перетворюється на наратив про «найнебезпечніший AI‑проєкт». Але контекст тут не менш важливий, ніж самі числа: OpenClaw став магнітом для дослідників, компаній і навіть державних структур, які намагаються зламати чи принаймні поставити під сумнів безпеку агентної платформи, що стрімко стає де-факто стандартом.
Штайнбергер описує ситуацію як «DDoS security‑репортами»: сотні людей запускають свої інструменти, агенти й сканери, щоб знайти хоч щось, що можна перетворити на advisory. Для індустрії це спосіб заробити репутаційні «кредити» — чим більше знайдених вразливостей, тим гучніші імена дослідників та організацій. Для OpenClaw це означає постійну роботу на межі можливостей мейнтейнерів.
Удвічі більше за Linux kernel, удвічі більше за curl: що означає таке порівняння
Щоб зрозуміти масштаб навантаження, Штайнбергер порівнює OpenClaw з двома добре відомими проєктами — Linux kernel та curl. Обидва — фундаментальні компоненти сучасної інфраструктури, які десятиліттями перебувають під прицілом як дослідників безпеки, так і зловмисників.
За його словами, ядро Linux отримує близько 8–9 security‑advisories на день. Це вже сам по собі високий показник для проєкту такого масштабу, але OpenClaw сьогодні має приблизно вдвічі вищий темп — ті самі 16,6 звітів щодня. Тобто молодий агентний фреймворк, який ще навіть не встиг стабілізуватися як «класична» інфраструктура, живе в режимі, що перевищує навантаження на один із найкритичніших компонентів світового софту.
Інше порівняння — з curl, утилітою та бібліотекою, яка використовується практично всюди, де є HTTP‑запити. За весь час існування curl отримав близько 600 security‑репортів. OpenClaw за кілька місяців уже має приблизно вдвічі більше — ті самі 1 142 advisories. Штайнбергер прямо формулює це: OpenClaw отримує приблизно вдвічі більше security‑advisories на день, ніж Linux kernel, і має приблизно вдвічі більше security‑репортів загалом, ніж curl за всю свою історію.
Ці порівняння не означають, що OpenClaw «вдвічі небезпечніший» за Linux чи curl. Вони радше демонструють, як змінилася сама динаміка безпеки в епоху AI‑інструментів і масової автоматизації пошуку вразливостей. Якщо раніше дослідники вручну аналізували код і протоколи, сьогодні значну частину роботи виконують агенти, які можуть генерувати десятки варіантів атак і сценаріїв за лічені хвилини.
У результаті будь-який проєкт, що опиняється в центрі уваги, отримує лавину звітів — від реальних, складних експлойтів до формальних, але практично малозначущих кейсів, які все одно потрапляють у систему як «критичні» за формальними правилами CVSS.
Коли «10 із 10» не означає кінець світу: формальні CVSS проти реальної загрози
Один із найяскравіших прикладів розриву між формальними метриками й реальною загрозою — кейс із вразливістю, що отримала CVSS‑оцінку 10 із 10. На папері це максимальний рівень небезпеки, який зазвичай асоціюється з повним компромісом системи. У конкретному випадку йшлося про сценарій, коли мобільний застосунок (наприклад, iOS‑клієнт OpenClaw, який ще навіть не був випущений) із правами лише на читання міг за певних умов отримати можливість запису.
Формально це порушення моделі дозволів, тож за правилами CVSS воно отримує максимальний бал. Проте в реальних сценаріях використання OpenClaw ця вразливість майже не проявляється. Типова інсталяція — це або локальний запуск на власній машині, або розгортання в хмарі чи приватній мережі, де користувач і так має повний контроль над середовищем. У переважній більшості випадків або є повний доступ до «gateway», або його немає взагалі; проміжні, тонко налаштовані моделі дозволів, для яких ця вразливість була б релевантною, практично не використовуються.
Штайнбергер визнає, що спроба створити більш гнучку систему прав доступу була його помилкою з точки зору складності моделі. Але водночас підкреслює: правила CVSS не враховують реальні патерни деплойменту та типові конфігурації. Якщо слідувати їм буквально, доводиться маркувати як «10/10» інциденти, які в реальному житті майже нікого не зачіпають.
Це створює парадокс: з одного боку, мейнтейнери намагаються «грати за правилами» й чесно реєструвати та класифікувати всі знайдені проблеми. З іншого — медіа, регулятори й частина безпекової спільноти інтерпретують ці цифри без контексту, перетворюючи формальні оцінки на гучні заголовки про «критично небезпечний» продукт.
Агентний світ як магніт для атак: від RCE до supply chain‑інцидентів
Попри надмірну драматизацію окремих кейсів, ризики в OpenClaw цілком реальні — і вони типові для будь-якої потужної агентної системи. Типовий attack surface включає віддалене виконання коду, обходи механізмів підтвердження дій, ін’єкції коду, path traversal та інші класичні вектори.
Особливість агентних платформ у тому, що вони поєднують три критичні компоненти: доступ до даних користувача, взаємодію з недовіреним контентом і можливість виконувати дії у зовнішньому світі. У такій конфігурації будь-яка помилка в ізоляції чи авторизації може мати значно серйозніші наслідки, ніж у традиційних застосунків, які лише читають або відображають інформацію.
Штайнбергер прямо говорить про «юридичну тріаду» ризиків: агент, який має доступ до ваших даних, може спілкуватися з недовіреними джерелами й водночас виконувати дії, завжди становитиме потенційну загрозу. Це не унікальна проблема OpenClaw — так працює будь-яка достатньо потужна агентна система. Чим більше можливостей ви даєте агенту, тим більше потрібно розуміти, що саме він може зробити й як обмежити його повноваження.
На цьому фоні з’являються й класичні supply chain‑інциденти. Один із прикладів — вразливість в Axios, популярній HTTP‑бібліотеці. OpenClaw напряму її не використовує, але має залежності на кшталт Microsoft Teams чи Slack, які, своєю чергою, тягнуть Axios без жорсткого пінінгу версій. У результаті OpenClaw опиняється в ланцюжку постачання, який уразливий до проблем у сторонньому пакеті, навіть якщо сам проєкт ніколи не додавав його до свого коду.
Ще один пласт загроз — активність державних акторів. Штайнбергер згадує кейс «GhostClaw», який, за його словами, імовірно пов’язаний із Північною Кореєю. Суть атаки — підміна пакета в екосистемі NPM: користувач, який переходить на фішинговий сайт і завантажує «не той» пакет, отримує rootkit. Це вже не вразливість OpenClaw як такого, а класичний приклад того, як популярність проєкту робить його брендом, який зручно використовувати для маскування шкідливого ПЗ.
Коли безпека стає індустрією страху: як OpenClaw опиняється в центрі феар‑маркетингу
Окремий вимір проблеми — те, як навколо OpenClaw формується індустрія страху. Штайнбергер описує ситуацію, коли компанії, університети й дослідницькі групи будують свою видимість на гучних кейсах про «небезпечні агентні системи», часто ігноруючи контекст і рекомендації з безпечного використання.
Він наводить приклад наукової роботи «Agents of Chaos», де кілька сторінок присвячено детальному опису архітектури OpenClaw. При цьому автори, за його словами, повністю ігнорують офіційну сторінку з рекомендаціями щодо безпеки: там, де пояснюється, що особистий агент не варто додавати в групові чати, а якщо це командний агент, то слід вмикати sandboxing і обмежувати доступ до чутливих даних.
У результаті дослідники демонструють «ефектні» сценарії, де будь-хто в груповому чаті може змусити агента виконати небажані дії або ексфільтрувати дані. Формально це виглядає як серйозна вразливість, але на практиці часто виявляється наслідком свідомого ігнорування базових рекомендацій: запуск агента в режимі sudo, максимальні дозволи, відсутність ізоляції.
Схожа історія трапляється й на рівні державних структур. Штайнбергер згадує випадок, коли одна з вразливостей RCE спричинила паніку в бельгійському кібербезпековому відомстві. Суть проблеми полягала в тому, що зловмисний сайт міг створити посилання, яке активує gateway і пересилає токен доступу. У типовій конфігурації OpenClaw gateway‑токен доступний лише локально або в приватній мережі, тож зовнішній сайт просто не може до нього дістатися. Проте якщо користувач свідомо порушує рекомендації, наприклад, розгортає систему через хмарний сервіс без належної ізоляції, сценарій стає можливим — і миттєво перетворюється на гучний «національний інцидент».
Усі ці кейси підсвічують напруження між двома реальностями. З одного боку, є реальні ризики, пов’язані з потужними агентами, і потреба говорити про них чесно. З іншого — є спокуса будувати кар’єри, цитування й бюджети на драматичних історіях, де контекст ігнорується, а формальні CVSS‑бали стають головним аргументом.
Люди проти агентів: як мейнтейнери виживають під шквалом AI‑згенерованих репортів
Ще одна нова реальність, з якою стикається OpenClaw, — це зміна природи самих security‑репортів. Значну їх частину сьогодні генерують не люди, а агенти й інструменти на базі великих мовних моделей. Вони вміють будувати складні ланцюжки атак, комбінувати кілька дрібних помилок у повноцінний експлойт і масово продукувати варіанти сценаріїв.
Для мейнтейнерів це означає подвійне навантаження. З одного боку, зростає шанс виявити справді нетривіальні вразливості, які раніше могли б залишитися непоміченими. З іншого — різко збільшується кількість «шуму»: формально коректних, але практично малозначущих або дубльованих звітів, які все одно потребують ручної перевірки.
Штайнбергер визнає, що сьогодні не може повністю довірити аналіз цих звітів самим агентам. Кожен advisory доводиться читати й осмислювати, оцінюючи не лише технічну коректність, а й реалістичність загрози в типових сценаріях використання. Іноді можна здогадатися, що репорт згенеровано AI — наприклад, коли текст надто ввічливий або автор вибачається, що нетипово для спільноти безпеки. Але це не знімає необхідності розбиратися в деталях.
Класична проблема open source тут лише загострюється. Більшість проєктів і так скаржаться на брак ресурсів для обробки security‑репортів; деякі, як ffmpeg, публічно говорять про те, що не встигають опрацьовувати всі знахідки. Часто звіт не супроводжується якісним патчем, а якщо патч і є, то нерідко виявляється поганим і ламає продукт, якщо застосувати його поспіхом.
OpenClaw спочатку намагався відповідати на цей виклик силами волонтерів. Штайнбергер зізнається, що певний час намагався самостійно обробляти весь потік advisories — і це виявилося просто неможливим. Урешті-решт проєкт почав залучати компанії, які готові виділити людей на повний робочий день для «просіювання» шуму й послідовного зміцнення кодової бази. Серед таких партнерів він окремо відзначає NVIDIA, яка, за його словами, надала фахівців, що фактично повний день працюють над безпекою OpenClaw.
Це показовий зсув: у світі, де AI‑інструменти здатні генерувати тисячі знахідок, безпека open source‑проєктів дедалі більше залежить від того, чи є в них доступ до професійних команд, а не лише до ентузіастів‑волонтерів.
Нові правила гри: чому безпека агентних систем потребує переосмислення
Історія OpenClaw демонструє, що класичні підходи до оцінки безпеки погано масштабуються в умовах агентних систем і AI‑асистованого пошуку вразливостей. Формальні CVSS‑бали, кількість advisories чи порівняння з Linux kernel і curl дають лише поверхневу картину. Вони не враховують, наскільки активно проєкт атакують, як саме його зазвичай розгортають, які рекомендації з безпеки ігноруються користувачами й наскільки сильно на статистику впливає автоматизація.
OpenClaw став своєрідним стрес‑тестом для всієї індустрії. З одного боку, він показує, наскільки потужними стали AI‑інструменти для пошуку вразливостей: від sandbox‑обходів до складних ланцюжків RCE. З іншого — оголює слабкі місця в екосистемі безпеки: від феар‑маркетингу до перевантаження мейнтейнерів і відсутності зрозумілих метрик, які б розрізняли «формально критичне» й «практично небезпечне».
У цьому сенсі OpenClaw — не просто «молодий і вразливий» проєкт, а радше дзеркало нової епохи. Епохи, де будь-яка популярна платформа миттєво стає мішенню для сотень агентів і дослідників, де кожен CVSS‑бал може стати інформаційним приводом, а виживання open source дедалі більше залежить від здатності будувати партнерства з великими гравцями, які готові інвестувати в безпеку не лише словами.
Висновок
OpenClaw сьогодні живе в унікальній точці перетину: це надзвичайно популярний open source‑проєкт, молода агентна платформа й водночас полігон для нової хвилі безпекових практик, де AI‑інструменти атакують AI‑системи. 1 142 security‑advisories, 16,6 звітів на день, 99 «критичних» кейсів, 60% закритих проблем і темп, що вдвічі перевищує Linux kernel, — усе це не стільки вирок, скільки симптом нової реальності.
У цій реальності питання вже не в тому, чи можна створити абсолютно безпечну агентну систему. Питання в тому, як навчитися жити з постійним потоком вразливостей, відрізняти реальні загрози від формального шуму, будувати чесну комунікацію без феар‑маркетингу й водночас не знецінювати ризики, які справді існують. OpenClaw, зі своїм безпрецедентним шквалом репортів, сьогодні один із небагатьох проєктів, що змушує індустрію шукати відповіді на ці запитання.