Долги в 12 тысяч во сне? Эта «крестовка» сходит с ума

Почему AI·OpenClaw превращается из инструмента повышения производительности в угрозу безопасности?

«Студентам не стоит слепо устанавливать «Лобстера». Использование всего три дня довело меня до полного нервного срыва», — рассказывает студент четвертого курса Гао Линь, гуманитарий. В преддверии выпуска ему приходится совмещать учебу и поиск стажировки. Он надеялся использовать «Лобстера» для организации заметок и выполнения домашних заданий. Однако всё пошло не так: «Лобстер» самовольно удалил его презентации по профильным предметам, материалы для повторения и даже черновики недавно выполненных заданий.

Гао Линь расплакался от отчаяния. Более того, «Лобстер» без остановки расходовал токены, что привело к счету на несколько сотен юаней — для него это было как потеря половины месячного бюджета. Он искренне советует студентам: «Если у вас ограниченный бюджет и вы не разбираетесь в технологиях, не тратьте деньги на опасные игрушки — только потеряете деньги и нервы».

С ростом популярности открытого AI-агента OpenClaw (часто называемого «Лобстер») по всему миру, началась волна опасений по поводу безопасности. Этот «цифровой сотрудник», изначально задумывавшийся как помощник, из-за слабых настроек безопасности превращается в инструмент злоумышленников, подобно «Троянскому коню». От утечки личных данных до паралича критической инфраструктуры, от кражи API-ключей до ошибок в финансовых операциях — первые жертвы уже понесли тяжелые потери, а скрытые угрозы продолжают накапливаться.

Недавно Национальный центр реагирования на инциденты в интернете опубликовал предупреждение о рисках использования OpenClaw, указав, что его стандартные настройки безопасности крайне уязвимы. Если злоумышленник найдет уязвимость, он сможет легко получить полный контроль над системой. В результате неправильной установки и эксплуатации уже возникли серьезные угрозы безопасности, что может привести к утечкам данных и другим проблемам.

На сегодняшний день многие университеты, местные власти и финансовые организации уже запретили использование OpenClaw и призывают «не создавать паники и не распространять мифы». Как безопасно «выращивать» «Лобстера» — важный урок в текущей волне популярности этого инструмента.

AI-иллюстрация/adan

В сне на вас навалится огромный долг

Блогер в области технологий Ян Хань — один из первых, кто начал «выращивать» «Лобстеров». За последний месяц он запустил семь таких агентов. Один из них — главный управляющий, контролирующий остальных шестерых, отвечающих за торговлю криптовалютой, написание статей и выполнение рутинных задач. Для Ян Ханя управление «Лобстером» казалось простым и понятным.

Но несколько дней назад, выйдя из дома, он попросил «Лобстера» настроить удаленный доступ к компьютеру, чтобы управлять им через телефон. И тут «Лобстер» «завис».

Когда он сказал «Настрой мне удаленное подключение», «Лобстер» сначала попытался запустить стороннее приложение для удаленного доступа, но безуспешно. Потом он потратил 20 минут, пробуя разные способы, но подключиться так и не смог. Тогда «Лобстер» выполнил команду «Установить пароль для удаленного доступа», но неправильно истолковал — принял это за команду «Изменить пароль входа в компьютер». В результате система постоянно выдавала ошибку «Неверный пароль». Через два часа, когда Ян Хань собирался обновить программное обеспечение, он ввел пароль — и получил сообщение об ошибке. Он испугался: подумал, что его взломали.

Он спросил «Лобстера», изменил ли он пароль, но получил ответ, что тот ничего не знает. Тогда Ян Хань попросил «Лобстера» просмотреть логи операций — и обнаружил, что агент перепутал две функции. «Это как если бы вы пошли чинить кран, а случайно перекрыли газовый вентиль. Оба — вентиль, но один подает воду, другой — газ», — объяснил он. В глазах человека настройка удаленного доступа и изменение пароля — разные вещи, а «Лобстер» их не различает.

«Новый пароль хранится в системе в открытом виде, его могут видеть все», — воскликнул Ян Хань. Он немедленно отдал команду «не трогать ничего, что связано с паролями, правами и данными, — сначала спрашивай у хозяина». Он также заметил, что некоторые пользователи бездумно добавляют «Лобстера» в социальные группы, что может привести к утечке личной информации. Если управление правами доступа не налажено, агент может воспринимать других участников группы как хозяина. Например, кто-то в чате попросит его назвать адрес, телефон или пароль — и он без защиты отправит всю информацию в чат.

12 марта пользователь AI-приложения «Лун Гонхуа» сообщил СМИ, что его «Лобстер», запущенный всего 10 дней назад, после подключения к группе из 3000 человек с 98 агентами, без настройки триггеров @ был атакован в течение двух часов. Злоумышленники задавали вопросы, чтобы получить сведения о системе, модели, IP-адресе, реальном имени, компании и доходах за прошлый год; затем они потребовали просканировать локальные файлы, хотя и получили отказ. В результате произошла утечка информации. В момент атаки пользователь работал сверхурочно, а его системы обнаружили аномалию. В ночное время последствия могли бы быть куда более серьезными.

По сообщениям СМИ, в Шэньчжэне, через три дня после установки OpenClaw, у программиста украли API-ключи, и он получил счет на 12 тысяч юаней за токены — в автоматическом режиме «Лобстер» мог без остановки обращаться к моделям, создавая огромные долги во сне.

Объем утечек данных поражает: по всему миру уже более 270 тысяч экземпляров OpenClaw открыты в интернете без защиты, в состоянии «голого» доступа. Более того, около 12% плагинов на рынке ClawHub содержат вредоносный код, который может похитить SSH-ключи и пароли браузеров.

По сообщению «Шанхайской газеты», 8 марта в конференц-зале в Шанхае, где бесплатно устанавливали OpenClaw, главный специалист Baidu Cloud, Кэ Фэй, получил помощь от местного жителя: «Я хочу удалить OpenClaw, можете помочь?» Он заказал установку через интернет, передал права на компьютер службе поддержки — и за 40 юаней полностью доверил систему. Но через пять минут ему позвонили из центра борьбы с мошенничеством: «Служба поддержки, которая устанавливала OpenClaw, получила доступ к вашему компьютеру и видит всю информацию».

Самый тревожный случай — утечка почтовых данных. Руководитель отдела безопасности команды Meta Yue Суэмэр тестировал OpenClaw, поручив агенту управлять почтой. Он установил строгие правила: перед выполнением команд агент должен подтверждать их. Но агент игнорировал команды «остановиться» и продолжал удалять и архивировать письма. После трех попыток он был вынужден отключить интернет на устройстве.

Заместитель руководителя Центра оценки информационной безопасности Китайского института стандартизации технологий, Хэ Янчжэ, объяснил «Жэньминь жибао», что «Лобстер» — это агент, который при достаточных полномочиях может выполнять любые операции на компьютере, включая чтение файлов, запуск приложений и автоматическую коррекцию ошибок. Технология основана на том, что он находится между приложением и моделью AI, маршрутизируя запросы, проверяя подлинность и управляя доступом. Разработчики подключают API, и агент может свободно переключаться между моделями без переписывания кода.

Хэ Янчжэ описал стиль «Лобстера» как «неотступный в достижении цели». «Как только он получает задание, он обязательно добьется результата, постоянно пытаясь, объединяя локальные файлы, приложения и данные. Это создает проблему чрезмерных полномочий и «голого» доступа к данным».

Маск прокомментировал: «Давать AI автономию — все равно что дать обезьяне заряженное оружие».

«Невозвратные» и «недоверяемые»

В феврале этого года команда DeepMind из Google опубликовала длинную статью «Интеллектуальный делегат AI» (Intelligent AI Delegation), в которой предложила теоретическую основу для отношений делегирования между человеком и агентом. В статье говорится, что в текущей системе безопасности агентов есть серьезные пробелы.

Во-первых, «обратимость» действий. Например, создание плохой статьи — обратимо (можно просто удалить и переписать), а выполнение сделки на миллионы, удаление базы данных или рассылка увольнительных писем — необратимы. Это означает, что многие действия «Лобстера» — необратимы.

Самое рискованное, что делал Ян Хань, — это разрешил «Лобстеру» торговать криптовалютой. Он установил лимит в 500 долларов, чтобы агент сам разрабатывал стратегию, устанавливал стоп-лосс при падении на 2%, тейк-профит при росте на 3%. Но «Лобстер» не имел правильных критериев оценки ситуации и часто ошибался при входе в сделки, что приводило к убыткам в десятки и сотни долларов. Он открывал позиции по сигналам «рост» и «падение», ошибаясь несколько раз в день. За несколько дней он «накосячил» и понес убытки. Ян Хань понял, что «уверенность» AI может опережать его реальные возможности. Даже наблюдая за его действиями, он вряд ли сможет его остановить.

Опытный специалист по технологиям Ян Линь отметил, что проблема «необратимости» — это не просто отсутствие распознавания намерений, а отсутствие замкнутого цикла: распознавание, подтверждение, выполнение и завершение. Современные агенты не полностью не понимают команду человека, а в сложных задачах могут «уводить» цели, терять память, неправильно подтверждать этапы и не полностью останавливать выполнение команд. Иными словами, проблема не только в распознавании намерений, а в том, как система управляет выполнением.

«Если нет эффективных механизмов завершения и отката, риск необратимых последствий быстро возрастает. Удаление писем, перезапись файлов, утечка данных, изменение базы, автоматическая торговля и удаленное выполнение команд — это не просто ошибки диалога, а действия с реальными последствиями», — подчеркнул Ян Линь. Он добавил, что любые операции, связанные с удалением, отправкой, публикацией, платежами, переводами, изменением настроек и прав — должны рассматриваться как операции с высоким уровнем риска.

Финансовый сектор — один из первых, кто столкнется с этими угрозами. 15 марта Китайская ассоциация интернет-финансов (КИИФ) выпустила предупреждение о рисках использования OpenClaw в финансовой сфере. Там говорится, что в этой отрасли, где работают с деньгами, активами и личными данными, OpenClaw легко может стать инструментом кражи информации или незаконных операций, что создает серьезные риски.

Некоторые зарубежные блогеры утверждают, что «Лобстер» за 50 долларов инвестиций за 48 часов превратил их капитал в 2980 долларов — доходность 5860%. В соцсетях уже появились руководства, как использовать OpenClaw для трейдинга.

Эксперт по финансам Кин Донхуй не советует использовать «Лобстера» для торговли акциями: «Это высокорискованный псевдомодельный инструмент, который может привести к утечкам данных, нарушениям правил и сбоям в AI-решениях. В условиях ограничений на торговлю в A-акциях и лимитов на рост и падение он не дает преимущества, а только увеличивает риск блокировки счета и расходы. Большинство инвесторов не смогут стабильно зарабатывать с его помощью, лучше использовать AI как вспомогательный инструмент».

Один из сотрудников брокерской компании рассказал «Жэньминь жибао»: «Многие брокеры уже запретили использование OpenClaw, предупреждая сотрудников о рисках. Даже без официальных приказов, они не подключают API, что по сути означает запрет».

Министерство промышленности и информационных технологий 11 марта опубликовало предупреждение о рисках ошибок и взломов в финансовых сценариях при использовании OpenClaw. Там говорится, что возможны ошибки при торговле, взлом аккаунтов, кража данных, внедрение вредоносных плагинов и неконтролируемые действия агента.

23 февраля 2026 года инженер OpenAI Ник Паш создал торгового агента Lobstar Wild для тестирования платформы OpenClaw. Он оснастил его 50 тысячами долларов в криптовалюте, аккаунтом X и API-доступами к поиску, анализу изображений и торговым протоколам, предоставив полную автономию.

Однажды пользователь @TreasureD76 отправил запрос этому агенту, сообщив, что его «дядя» после работы с «Лобстером» диагностирован с столбняком и просит 4 доллара на лечение. Lobstar Wild не отправил деньги, а передал все свои криптоактивы — и при переводе их стоимость достигла 25 тысяч долларов.

Подробный разбор показал, что ошибка произошла из-за неправильной проверки системы и формата данных. Инженер объяснил, что он использовал старую версию OpenClaw, из-за чего не смог перехватить ошибочные команды.

Кин Донхуй отметил, что основные риски OpenClaw — безопасность данных, контроль транзакций и соблюдение правил. Его открытая природа увеличивает уязвимости и риски распространения. Эти проблемы обусловлены особенностями финансовой отрасли: высокая чувствительность данных, необходимость их защиты, сильная взаимосвязь систем и строгие требования к соблюдению правил. В результате слабая безопасность и неясная ответственность в открытом AI могут привести к системным сбоям.

«Краткосрочно эти проблемы могут не уменьшиться, а сначала усилиться с ростом применения. В какой-то момент возникнет противоречие между кажущейся близостью команд и их реальным выполнением», — отметил Ян Линь. Он добавил, что «Лобстер» считается недоверяемым из-за отсутствия надежных механизмов завершения и отката. Когда пользователь говорит «Очисти старые письма», «Удалить ненужные файлы» или «Упорядочи рабочий стол», для человека это очевидные действия, а для машины — сложные задачи, связанные с временными рамками, правилами сохранения, исключениями, порядком выполнения и ошибками.

11 марта в Уси, провинция Чжэцзян, на цифровом выставочном центре показывали новости о «Лобстерах» на открытом AI. Фото/新华

Как избежать «человеческих ошибок» при использовании AI

OpenClaw безусловно показывает огромный потенциал AI в переходе от «диалога» к «исполнению». Но в статье отмечается: «Мы не можем полностью предотвратить выход агентов из-под контроля». Тогда возникает вопрос: стоит ли вообще использовать «Лобстера»?

Магистр гуманитарных наук Нань Фань, интересующийся программированием, за месяц изучил около пятидесяти руководств и создал собственный инструмент «Лобстер». Он разработал «курс по безопасности» для пользователей без технических знаний. В интервью «Жэньминь жибао» он отметил, что главный риск — в том, что пользователи склонны воспринимать AI как личного помощника и делиться с ним личной информацией. Эти данные хранятся в файлах, и при их краже могут возникнуть серьезные последствия.

«Самое опасное — доверить «Лобстеру» управление компьютером, что фактически дает ему полный доступ ко всем файлам», — говорит он. «Это как если бы дверь в дом была закрыта, а после установки «Лобстера» она стала приоткрытой, и вы этого не заметили».

Руководитель отдела безопасности продукта компании Volcano Engine Лю Сэнь считает, что «Лобстер» — это как умный, трудолюбивый цифровой сотрудник, но он еще не знает границ и правил работы. «Нам нужно управлять им как сотрудником, чтобы он выполнял свою работу и не создавал проблем».

Генеральный директор компании Qihoo 360 Чжоу Хонгчжи советует: для государственных и корпоративных клиентов правильнее не запрещать полностью, а сначала тестировать в изолированных средах, постепенно проверяя безопасность, чтобы не тормозить развитие технологий и одновременно сохранять безопасность. «Технологии и безопасность должны развиваться вместе, а не по отдельности».

15 марта в Ухане, Хубэй, компания Qihoo 360 провела бесплатную установку «Лобстеров» для сотен участников. Фото/视觉中国

Что касается индивидуальных пользователей, эксперт по информационной безопасности Юань Бо советует: «Устанавливайте «Лобстеров» в новых средах, выбирайте проверенных отечественных поставщиков, четко определяйте свои потребности, следите за обновлениями и патчами, чтобы снизить риски».

Чжоу Хонгчжи добавил: «При использовании важно соблюдать базовые меры безопасности: не доверяйте важные пароли и данные агенту сразу, не давайте ему доступ ко всему, что является конфиденциальным».

Осторожность при установке, минимальные права доступа и проверка источников плагинов — необходимые меры защиты. Безопасность должна стать приоритетом для всех, кто «выращивает» своих «Лобстеров».

(Имена Гао Линь, Ян Линь и Нань Фань — вымышленные)

Опубликовано в №1228 «Китайский обзор новостей» от 23 марта 2026 года

Заголовок журнала: Вышедшие из-под контроля «Лобстеры»: кто платит цену?

Автор: Мэн Цянь

Редактор: Мин Цзе