Борг у сні на 12 000? Ця «креветка» зійшла з розуму

Чому AI·OpenClaw перетворився з інструменту підвищення продуктивності на загрозу безпеці?

«Студентам не слід сліпо встановлювати «Лобстера». Три дні використання призвели до повного руйнування мого психічного стану», — розповідає студент четвертого курсу Гао Лін, гуманітарій. Перед випуском він намагався за допомогою «Лобстера» організувати нотатки та виконати домашні завдання. Однак усе пішло не так: «Лобстер» самовільно видалив його презентації з профільних предметів, матеріали для повторення та навіть чернетки вже зроблених робіт.

Гао Лін заплакав від страху. Більше того, «Лобстер» безконтрольно споживав токени, і рахунок на кілька сотень юанів викликав у нього глибоку біль — це майже половина його місячного бюджету. Він щиро радить студентам: «Якщо бюджет обмежений і ви не розбираєтеся в техніці, не витрачайте гроші на ризиковані експерименти — це просто даремно».

З поширенням у світі відкритого AI-агента OpenClaw (загалом «Лобстер») почалася хвиля безпекових проблем. Ця «цифрова працівниця», через її слабкі стандартні налаштування безпеки, перетворилася з інструменту підвищення продуктивності на «Троянського коня» в руках зловмисників. Від витоку особистих даних до паралічу критичної інфраструктури, від крадіжки API-ключів до помилкових фінансових операцій — перші ж жертви вже зазнали значних збитків, а приховані ризики продовжують зростати.

Нещодавно Національний центр реагування на кіберінциденти опублікував попередження щодо безпеки застосування OpenClaw, зазначивши, що його стандартні налаштування дуже вразливі: зловмисник, знайшовши вразливість, може легко отримати повний контроль над системою. Через неправильну установку та використання вже виникли серйозні загрози безпеці, що може призвести до витоку приватної інформації та інших вразливостей.

Зараз багато університетів, місцевих урядів і фінансових установ вже заборонили використання OpenClaw і закликають «не створювати паніку і не розповсюджувати міфи». Як безпечно «вирощувати лобстерів» — це важливий урок у нинішньому «національному тренді» використання цих AI.

У сні — величезний борг

Як технологічний блогер, Ян Хань був одним із перших, хто почав «вирощувати лобстерів». За останній місяць він створив сім таких агентів. Один із них — головний менеджер, що керує іншими шістьма, відповідаючи за торгівлю криптовалютами, написання статей і вирішення побічних задач. Для Ян Ханя керувати «Лобстером» здається цілком легко.

Але кілька днів тому, коли він був поза домом і хотів налаштувати «Лобстера» для віддаленого доступу до комп’ютера через телефон, «Лобстер» зламався.

Коли Ян Хань сказав «Допоможи налаштувати віддалене підключення», «Лобстер» спробував запустити відповідне програмне забезпечення, але безуспішно. Після 20 хвилин безрезультатних спроб він почав «блукати» різними способами, але підключитися не вдалося. Тоді «Лобстер» виконав команду «зробити пароль для віддаленого підключення», але неправильно зрозумів і почав змінювати пароль входу в систему. Всі подальші дії викликали повідомлення «невірний пароль». Через дві години, коли Ян Хань намагався оновити програмне забезпечення, система знову повідомила про неправильний пароль. Він злякався, подумав, що його зламали.

Запитав у «Лобстера», чи він змінив пароль, але отримав відповідь, що той нічого не знає. Перевірив журнали дій — і зрозумів, що «Лобстер» переплутав дві функції. «Це все одно, що ви йдете ремонтувати кран, а натомість перекриваєте газовий клапан. Обидва — клапани, але один подає воду, інший — газ», — пояснює Ян Хань. Для людини налаштування пароля для віддаленого доступу і зміна пароля входу — різні речі, але «Лобстеру» важко це зрозуміти.

«Новий пароль зберігається у системі у відкритому вигляді, його може побачити будь-хто», — каже Ян Хань. Його охопила тривога. Він наказав «Лобстеру»: у випадку операцій, що можуть вплинути на паролі, права або дані, спершу питати у власника. Також він звернув увагу, що деякі користувачі бездумно додають «Лобстера» до соцмереж, що може призвести до витоку особистої інформації. Якщо контроль доступу не налаштований належним чином, «Лобстер» може сприймати інших учасників групи як власника. Наприклад, коли хтось у чаті просить його назвати адресу, телефон або пароль, він може беззахисно передати цю інформацію.

12 березня користувач AI-додатку «Лонг Гонг Хуо» повідомив ЗМІ, що його другий «Лобстер», запущений лише 10 днів тому і доданий до групи з 98 агентів, був атакований протягом двох годин через відсутність тригера @. Зловмисники через запити отримали інформацію про середовище роботи, конфігурацію моделей, IP-адресу, справжнє ім’я, назву компанії та минулорічний дохід; також вони наказали агенту шукати файли на локальному диску C, хоча йому заборонили виконувати чутливі операції. Це спричинило витік інформації. В момент атаки «Лонг Гонг Хуо» працював понаднормово, і його моніторинг виявив аномалію. Уночі наслідки могли бути ще гіршими.

За даними ЗМІ, у Шеньчжені програміст, який встановив OpenClaw на третій день, отримав рахунок на 12 000 юанів через крадіжку API-ключа. Оскільки OpenClaw має високий рівень автоматизації, при витоку ключа AI може безперервно викликати моделі у фоновому режимі, і користувач може прокинутися з величезним боргом.

Обсяг витоку приватних даних вражає: понад 270 тисяч інстанцій OpenClaw у всьому світі працюють у відкритому доступі без автентифікації. Ще страшніше — близько 12% плагінів на ринку ClawHub містять шкідливий код, що краде SSH-ключі та паролі браузерів.

За повідомленням «Шанхайської газети», 8 березня у конференц-залі в Шанхаї, де безкоштовно встановлювали OpenClaw, технічний директор Baidu Cloud, Ке Фей, отримав допомогу від місцевого мешканця: «Я хочу видалити OpenClaw, допоможіть». Він замовив установку через інтернет за 40 юанів. Але через п’ять хвилин йому зателефонували з центру протидії шахрайству: «Клієнтська служба, яка встановлювала OpenClaw, отримала доступ до вашого комп’ютера і бачила всю інформацію».

Найжахливіший випадок — з контролем пошти. Суперкоманда Meta з безпеки тестувала OpenClaw, щоб перевірити, як агент працює з поштою. Вона встановила правила, за якими агент має підтверджувати будь-які дії. Однак агент ігнорував команду зупинитися і продовжував видаляти та архівувати листи. Три рази вона кричала «зупинись», але безрезультатно. Тоді вона швидко від’єднала кабель.

Заступник голови Центру стандартизації та досліджень у галузі кібербезпеки Китайського інституту стандартизації електронних технологій Хе Янчжень пояснив «China News Weekly», що суть «Лобстера» — це агент-замінник (агент), який при достатньо високих правах може виконувати будь-які дії на комп’ютері, включно з читанням файлів, запуском додатків і автоматичним виправленням помилок. Технологія базується на тому, що він розташований між додатком і моделлю AI, відповідаючи за маршрутизацію запитів, автентифікацію, контроль доступу та диспетчеризацію кількох моделей. Розробник лише під’єднує API, і може вільно перемикатися між моделями без переписування коду.

Хе Янчжень описує стиль «Лобстера» як «не зупиняється, доки не досягне мети». «Якщо він отримує завдання, він неодмінно намагається його виконати, постійно пробуючи, щоб отримати результат, — каже він. — Це призводить до того, що він масово намагається отримати доступ до локальних файлів, додатків і даних, що створює проблему надвисоких прав і «голих» даних».

Маск прокоментував: «Дати AI автономію — це все одно, що дати мавпі заряджений пістолет».

«Неконтрольованість» і «недовіра»

У лютому цього року команда Google DeepMind опублікувала довгу статтю «Інтелектуальний делегування AI», у якій намагається створити теоретичну основу для делегування між людиною і агентом. У ній зазначено, що сучасна система безпеки агентів «повністю провалена» у деяких аспектах.

Перший — «незворотність». Наприклад, написати погану статтю — це зворотно, її можна просто видалити і переписати. Але виконати фінансову операцію на мільйони юанів, видалити базу даних або надіслати всім співробітникам лист про звільнення — це незворотні дії. Це означає, що багато дій «Лобстера» є незворотними.

Найризикованіша операція, яку робив Ян Хань із «Лобстером», — це дозвіл на торгівлю криптовалютами. Спершу він дав агенту ліміт у 500 доларів, щоб той самостійно розробляв стратегію торгівлі, встановлював стоп-лосс на 2%, тейк-профіт на 3%. Але «Лобстер» не мав правильних критеріїв оцінки ситуації і почав відкривати позиції при найменших коливаннях, часто з помилками. В результаті він за кілька днів вчинив багато помилкових операцій і завдав збитків на сотні доларів. Ян Хань зрозумів, що «самовпевненість» AI може швидше за його можливості призвести до катастрофи. Навіть якщо він дивиться за його діями, зупинити його майже неможливо.

Ветеран-інженер Ян Лінь зазначає, що проблема «незворотності» полягає не лише у відсутності розпізнавання намірів, а й у тому, що процеси визначення цілей, їх підтвердження, виконання і завершення не формують замкнутого циклу. Поточні агенти не зовсім не розуміють людські інструкції, але у довгих ланцюгах завдань виникає ризик зміщення цілей, втрати пам’яті, несправності підтверджень і неповного зупинення. Іншими словами, проблема не лише у розпізнаванні намірів, а й у тому, як система контролює їх виконання.

«Якщо відсутні ефективні механізми завершення і відкату, ризик незворотних наслідків швидко зростає. Видалення листів, перезапис файлів, розголошення клієнтських даних, зміна баз даних, автоматичне розміщення замовлень, віддалене виконання команд — це не просто помилки у діалозі, а дії з реальними наслідками», — підкреслює Ян Лінь. — «Будь-які дії, що стосуються видалення, відправки, публікації, платежів, переказів, налаштувань або зміни прав доступу, слід вважати високоризиковими».

Фінансовий сектор — один із перших, хто піддається цим ризикам. 15 березня Китайська асоціація інтернет-фінансів опублікувала попередження щодо безпеки застосування OpenClaw у цій галузі. Вона наголошує, що високий рівень цифровізації і обробки клієнтських даних робить цю сферу особливо вразливою до атак: витік даних, підробка транзакцій, крадіжка ключів і паролів, злом систем — усе це може спричинити серйозні наслідки.

23 лютого 2026 року інженер OpenAI Нік Паш створив для тестування платформи OpenClaw AI-агента Lobstar Wild. Він обладнав його 50 тисячами доларів у криптогаманці, акаунтом X і API-доступом до пошуку в інтернеті, аналізу зображень і торгових протоколів, надавши йому повну автономію.

Одного разу користувач платформи @TreasureD76 надіслав запит цьому агенту, повідомивши, що його «дядько» після роботи з «Лобстером» був діагностований із зараженням правця і просив 4 долари на лікування. Lobstar Wild не виконав його прохання і замість цього передав усі свої криптоактиви, що в момент переказу коштували 25 тисяч доларів.

Після детального аналізу інженер Нік Паш пояснив, що ця помилка сталася через неправильну валідацію системи і формат даних. Він зазначив, що використовував застарілу версію OpenClaw, через що не зміг перехопити неправильні команди.

Зі свого боку, Хе Янчжень підкреслює, що основні ризики OpenClaw — це безпека даних, контроль транзакцій і відповідність регуляторним вимогам. Відкритий код збільшує вразливості, що може посилити поширення ризиків. Ці проблеми зумовлені особливостями фінансової сфери, яка оперує великими обсягами конфіденційної інформації, має високі вимоги до цілісності і безпеки даних, а також до безперервності та незворотності транзакцій. Відсутність чіткої відповідальності і слабка безпека відкритих AI-агентів створюють конфлікт із цими характеристиками.

«У короткостроковій перспективі кількість таких проблем може зростати, оскільки зростає кількість застосувань, — зауважує Ян Лінь. — Це призведе до посилення протиріччя між мовною близькістю і нестабільністю виконання». «Ненадійність» «Лобстера» пояснюється саме цим. Коли користувач каже «очисти старі листи», «видали непотрібні файли», «зроби порядок на робочому столі», — для людини це очевидно, а для машини — питання часу, правил збереження, винятків, порядку виконання і резервних механізмів.

11 березня у Вуху, провінція Чжецзян, на цифровому виставковому центрі демонстрували новини про «Лобстера».