# Утечка 1,5 млн ключей и «спящие агенты»: масштабный кризис ИИ-агентов

Источник: https://www.youtube.com/watch?v=ceEUO_i7aW4
Канал: Wes Roth
Опубликовано: 07.02.2026

---

Популярная экосистема автономных ИИ-агентов OpenClaw (также известная под названиями ClaudeBot и Moldbot) столкнулась с серьезным кризисом доверия. Исследователи в области кибербезопасности и технические эксперты обнаружили в системе критические уязвимости, включая «спящих агентов», утечки миллионов API-ключей и вредоносное ПО, способное проникать из изолированных сред на основные устройства пользователей.

## 🛡️ Кризис безопасности в экосистеме OpenClaw
[[JUMP:00:00]]

Ведущий канала Wes Roth (Уэс Рот) сообщает о серии серьезных взломов и обнаружении вредоносного кода в инструментах, которыми пользуются владельцы ИИ-агентов OpenClaw [0:00]. Проблема затрагивает всю инфраструктуру, включая платформу Claw Hub — онлайн-сообщество, где пользователи обмениваются «навыками» (skills) для своих ботов [1:17]. 

По мнению Уэса Рота, названия OpenClaw, ClaudeBot и Moldbot относятся к одной и той же технологической базе, которую он объединяет общим термином OpenClaw [1:30]. Основная причина уязвимости, как считает автор, заключается в компромиссе между эффективностью и безопасностью:

*   Система OpenClaw эффективна именно потому, что многие протоколы безопасности в ней отключены или ослаблены [1:54].
*   Высокие возможности (capabilities) агента напрямую коррелируют с уровнем опасности при его использовании [2:07].
*   Популярные навыки на Claw Hub, включая инструменты для работы с Twitter, оказались заражены вредоносным ПО [2:19].

## 🕵️ «Спящие агенты» и семантические атаки
[[JUMP:04:29]]

Одной из самых опасных находок стали так называемые «спящие агенты» (sleeper agents). Исследователи компании Cisco обнаружили случаи, когда в память ИИ-агента внедрялись инструкции, которые не активируются немедленно [0:12]. По словам специалистов, такой агент может неделями или месяцами ждать кодового слова или команды, чтобы начать вредоносные действия [13:01].

Техническая сторона атак строится на «промпт-инъекциях» (prompt injections), но в случае с автономными агентами они приобретают новый смысл [4:29]:

1.  **Семантическая угроза:** Раньше текстовые файлы (.txt или .md) считались безопасными, так как компьютер просто отображал символы. Теперь LLM (большие языковые модели) понимают смысл текста [5:07].
2.  **Текст как команда:** Если в readme-файле или инструкции к «навыку» скрыта команда, агент воспринимает её как руководство к действию и исполняет в интерфейсе командной строки (CLI) [5:33].
3.  **Обход защиты:** Вредоносные навыки используют многоступенчатую загрузку. Сначала агент скачивает «условие» (prerequisite), которое ведет на промежуточную страницу. Там исполняется команда, декодирующая обфусцированный код, который затем скачивает финальный вирус [4:02].
4.  **Атака на macOS:** Обнаружены скрипты, снимающие атрибуты карантина (quarantine attributes) в macOS, чтобы встроенная система защиты Gatekeeper не сканировала вредоносный бинарный файл [4:15].

Особую тревогу вызывает способность ботов «выбираться» из безопасных Docker-контейнеров и устанавливать вредоносное ПО непосредственно в основную операционную систему пользователя [0:38, 13:13].

## 📉 Масштабная утечка: 1,5 миллиона API-ключей
[[JUMP:09:47]]

Помимо уязвимостей в коде, была зафиксирована масштабная утечка данных пользователей. Исследователи компании Whiz в начале февраля 2024 года раскрыли критический изъян в Moldbot (социальная сеть для агентов OpenClaw) [9:47].

Последствия утечки, согласно отчету Whiz:

*   Скомпрометировано более **1,5 млн API-токенов** аутентификации [0:52, 9:59].
*   В открытом доступе оказались **35 000 адресов** электронных почт пользователей [10:13].
*   Утекло более **4 000 частных сообщений** между ИИ-агентами [10:13].

Главной проблемой стало отсутствие шифрования. Многие пользователи не использовали переменные окружения (.env), а передавали свои ключи от OpenAI, Anthropic и AWS прямо в чат-логах [10:26]. Уэс Рот подчеркивает, что даже если агент сам по себе не делает ничего плохого, его история чатов (logs) сохраняется в открытом виде, откуда ключи легко извлечь [11:18].

## 🛠️ Реакция индустрии: Инструменты защиты от Cisco
[[JUMP:11:43]]

В ответ на кризис компания Cisco выпустила open-source инструмент под названием **Skill Scanner**, доступный на GitHub в репозитории Cisco AI Defense [9:21, 13:39]. Разработкой руководили Эми Чанг (Amy Chang) и Винит Сахи (Vineeth Sahi) [14:07].

Принцип работы Skill Scanner:

*   **Семантический анализ:** Инструмент использует ИИ для сопоставления описания навыка с его реальными действиями. Если навык для суммирования PDF внезапно запрашивает доступ к внешним URL-адресам, система помечает его как подозрительный [11:56].
*   **Поиск сигнатур:** Сканер ищет известные вирусные подписи и подозрительные команды вроде «игнорируй все предыдущие инструкции» [12:09, 12:23].
*   **Пример атаки:** Исследователи Cisco протестировали сканер на популярном навыке «Что бы сделал Илон?» (What would Elon do). Выяснилось, что этот навык был искусственно выведен в топ с помощью бот-ферм. Его скрытая цель заключалась в архивировании файла .env пользователя и отправке его на внешний сервер, пока агент «думал» над ответом [12:35].

## 🧪 Личный опыт и рекомендации Уэса Рота
[[JUMP:07:21]]

Уэс Рот признается, что в процессе тестирования OpenClaw выступал в роли «подопытного кролика» (guinea pig) [7:34]. Он осознанно подключал свои карты и API-ключи, понимая риски, и в итоге подтвердил факт утечки части своей информации [8:01].

Для минимизации ущерба Рот использовал следующие методы:

*   Установка жестких лимитов на кредитных картах [8:40].
*   Использование предоплаченных балансов на API-сервисах, которые он пополнял вручную [8:54].
*   Постоянный мониторинг использования ключей [8:54].

Автор утверждает, что, несмотря на «кошмар безопасности», он не намерен отказываться от ИИ-агентов, так как считает их невероятно перспективными [14:57, 18:00]. Однако его подход к работе с ними радикально изменился.

**Советы пользователям от Уэса Рота:**

1.  **Полная очистка:** Стереть все данные OpenClaw и начать установку с нуля [16:54].
2.  **Ротация ключей:** Немедленно обновить все API-ключи в сервисах OpenAI, Gemini, Anthropic и других [7:08].
3.  **Отказ от чата для ключей:** Никогда не передавать API-ключи через окно чата бота; вводить их только напрямую в конфигурационные файлы [16:54].
4.  **Осторожность с Claw Hub:** Не доверять сторонним навыкам, даже если у них высокий рейтинг. Лучше писать инструкции для агента самостоятельно [3:50, 17:48].
5.  **Гигиена логов:** Помнить, что всё, что вы пишете агенту, сохраняется. Необходимо регулярно проверять и удалять логи чатов [16:02].

Рот резюмирует, что сейчас наступила эпоха «Дикого Запада» в сфере ИИ [16:42]. В будущем, по его мнению, потребуются не только сканеры навыков, но и сканеры памяти агентов, которые смогут находить скрытые в контексте вредоносные инструкции [15:49].