Отечественные версии "Lobster" активно выпускаются, может ли безопасность соответствовать тренду?

В марте «Лобстер» OpenClaw стал популярным, а появление лобстера означало, что ИИ перешел от роли «собеседника» к системе с высшими правами «исполнителя».

Когда «Лобстер» начал набирать популярность в Китае, появились отечественные версии лобстера, созданные компаниями Tencent, Baidu, Alibaba, а также Zhipu, MINIMAX и производителями мобильных устройств, участвующими в этой волне «выращивания лобстеров».

Несмотря на популярность, безопасность этих систем вызывает опасения. Недавно, с ростом популярности «выращивания лобстеров», произошли инциденты, связанные с безопасностью. Например, специалист по ИИ из Meta Summer Yue подключила OpenClaw к рабочей почте, и ИИ сразу вышел из-под контроля: проигнорировав три её команды «остановить», он безумно удалил сотни писем.

Некоторые разработчики просили ИИ анализировать веб-интерфейсы, но из-за неясных команд ИИ понял это как необходимость изучения API и вызвал функцию удаления, полностью очистив комментарии на платформе.

10 марта Национальный центр реагирования на инциденты в интернете опубликовал предупреждение о рисках использования OpenClaw. В нем говорится, что для реализации функции «самостоятельного выполнения задач» OpenClaw получил расширенные системные права, включая доступ к локальной файловой системе, чтение переменных окружения, вызов внешних API и установку расширений. Однако из-за слабых настроек безопасности злоумышленники могут легко получить полный контроль над системой при обнаружении уязвимости.

В предупреждении отмечается, что из-за неправильной установки и использования OpenClaw возникли серьезные риски, такие как «инъекция подсказок», «ошибочные операции», «отравление функций (skills)», уязвимости и другие.

11 марта вечером платформа обмена информацией о угрозах и уязвимостях в области кибербезопасности Министерства промышленности и информационных технологий (далее «платформа») опубликовала рекомендации «Шесть что делать и шесть что не делать» по предотвращению рисков безопасности открытого ИИ OpenClaw, подготовленные специалистами по ИИ, операторами платформ по сбору уязвимостей и компаниями в области кибербезопасности.

Некоторые эксперты считают, что степень риска зависит не только от технологий, но и от организации использования. Если пользователь подключит OpenClaw напрямую к важным системам, таким как основная почта, онлайн-банкинг, репозитории кода и базы данных клиентов, риск значительно возрастет. А если компания ограничит работу системы в изолированной среде, разрешит только белый список инструментов, установит порог подтверждения вручную и будет вести аудит, риск снизится.

Эксперт по безопасности Qihoo 360 Wang Lijun отметил, что популярность OpenClaw продолжает расти, и волна «выращивания лобстеров» распространилась от ИИ-сообщества на широкую публику. Однако за этим технологическим праздником скрываются частые инциденты безопасности, что связано с ускорением эволюции ИИ к состоянию «супергероя». Основные риски — это потеря контроля над правами и «побег из системы», риски цепочек поставок навыков (skills), публичное раскрытие и удаленное взломы, а также утечка данных.

После появления отечественных версий лобстеров компании начали предпринимать меры по обеспечению безопасности. 12 марта Tencent выпустила набор инструментов для защиты OpenClaw, обеспечивающий безопасность для бизнеса и частных пользователей. Эта система охватывает три сценария: облачные решения, внутренние корпоративные сети и персональные ПК. Она использует технологии Tencent Cloud для изоляции среды и мониторинга, укрепляет безопасность офисных сетей с помощью Tencent iOA, а также предлагает пользователям защиту одним кликом через Tencent Computer Manager.

Кроме того, Tencent интегрировала некоторые функции безопасности в AI Skills и разместила их на платформах ClawHub и SkillHub, чтобы пользователи могли через диалог обеспечить защиту «Лобстера».

Генеральный директор по безопасности Tencent Cloud Su Jiandong в интервью «LatePost» заявил, что сейчас мы создаем не только безопасность для внутренних продуктов, таких как WorkBuddy и QClaw, но и предоставляем такие решения для сторонних OpenClaw. В целом, меры охватывают уровни хостинга, сети и цепочек поставок. Например, в области безопасности хостов есть специальный центр AI-агентов для проверки уязвимостей и неправильных настроек, шифрования паролей для защиты от злоумышленников; в сети — системы защиты от инъекций подсказок и утечек данных; в цепочках поставок — проверка и допуск вредоносных навыков.

Не только Tencent, но и Baidu, Volcano Engine, Zhipu и другие компании одновременно выпускают отечественные версии лобстеров и внедряют меры по обеспечению безопасности.

С одной стороны, отечественные «Лобстеры» продолжают появляться, а с другой — компании постепенно внедряют решения по обеспечению безопасности при «выращивании» этих систем. Эксперты отмечают, что в целом риски пока управляемы, но «управляемость» не означает «можно без ограничений открывать всем». С точки зрения инженерного управления, такие проблемы, как публичное раскрытие, использование открытых учетных данных, неизвестные источники плагинов, чрезмерные права и отсутствие журналов аудита, можно значительно снизить с помощью усиления мер безопасности.

Развитие ИИ-агентов также поднимает вопросы защиты личной информации. Использование ИИ с расширенными правами доступа к интернет-платформам может угрожать приватности. Необходимы четкие процедуры двойного разрешения — от пользователя и платформы — для доступа к личным данным.

Недавно за рубежом также начали вводить юридические ограничения на подобные действия. 9 марта суд в Калифорнии постановил, что стартап Perplexity AI должен прекратить доступ своих ИИ-агентов к сайту Amazon, запретить создание или управление аккаунтами Amazon и уничтожить все полученные данные. Сообщается, что их ИИ Comet маскируется под браузер Google Chrome, обходя автоматические проверки Amazon, и передает данные о покупках на сервер Perplexity без ведома пользователя. В ноябре прошлого года Amazon подала на компанию в суд.

Этот «временный запрет», хотя и не является окончательным решением, показывает, что суд признает важность двойного разрешения и уважает права пользователей и платформ. В качестве примера суд сослался на дело 2009 года — иск Facebook против агрегатора Power.com, в котором было указано, что даже при согласии пользователя, если платформа явно отзывает разрешение и посылает уведомление о прекращении доступа, продолжение доступа третьих лиц считается «несанкционированным».

В результате суд потребовал, чтобы Perplexity временно прекратила вход пользователей в аккаунты Amazon и уничтожила все полученные данные. Компания подала апелляцию.

Пока спор продолжается, но ясно, что для интеграции ИИ-агентов в повседневную жизнь и работу вопрос двойного разрешения становится все более актуальным. Обеспечение приватности и безопасности пользователей — одна из главных задач в развитии технологий.