Что такое OpenClaw? Путеводитель по открытому ИИ-ассистенту

Большинство ИИ-инструментов тратят время на ответы на вопросы. OpenClaw создан для выполнения действий. Именно этот разрыв и вывел его выше Linux в списке самых звёздных проектов GitHub всего за несколько месяцев после запуска.

Что это на самом деле: самохостируемая среда выполнения, которая подключает ИИ‑модели к вашему терминалу, файлам, браузеру и мессенджерам. Отправьте ему сообщение в WhatsApp — и он сможет искать по диску, запустить shell‑скрипт, проверить веб‑страницу и ответить в том же треде. Чат-бот так не умеет.

Звучит лучше, чем обстоит на практике. OpenClaw требует технической настройки, его история безопасности в 2026 году включает серьёзные инциденты, а публичный реестр навыков подвергся скоординированной малварной кампании. Об этом стоит знать заранее.

Что такое OpenClaw?

OpenClaw — бесплатный, открытый (лицензия MIT) и рассчитан на запуск на вашем оборудовании. Его создал австрийский разработчик Петер Штайнбергер, известный по PSPDFKit, и запустил в ноябре 2025 года как Clawdbot. Anthropic направила претензию по товарному знаку на название, и 27 января 2026 года оно стало Moltbot, а через три дня — OpenClaw, потому что, по словам Штайнбергера, «Moltbot так и не ложилось на язык». Талисман‑омар Molty пережил все переименования.

OpenClaw подключает модели к локальным инструментам. Изображение: автор.

Важный момент, из-за которого многие путаются в начале: OpenClaw — это не ИИ‑модель. Он подключается к отдельно настроенному провайдеру (в облаке или локально), и именно модель выполняет рассуждение, а OpenClaw берёт на себя маршрутизацию, память и выполнение инструментов.

Ядро — это сервис на Node.js под названием Gateway. Он работает в фоне на порту 18789, маршрутизирует сообщения между вашими чат‑приложениями и моделью, запускает все вызовы инструментов и хранит ваши API‑ключи, чтобы подключённые приложения не касались их напрямую.

Всё это делает его совсем не похожим на чат‑бота. OpenClaw может выполнять команды shell, читать и записывать файлы, управлять браузером и запускать задачи по расписанию, пока вы не смотрите.

Почему OpenClaw стал популярным

OpenClaw вырос с 9 000 звёзд на GitHub в первый день до более чем 195 000 за 66 дней — якобы в 18 раз быстрее Kubernetes.

Разработчики давно хотели такое: ассистента, который выполняет задачи, а не просто отвечает, работает на вашем оборудовании и подключается к приложениям.

К апрелю 2026 года проект превысил 346 000 звёзд. 15 февраля 2026 года Штайнбергер объявил, что присоединяется к OpenAI, а проект движется к структуре фонда при поддержке OpenAI. Он остался под лицензией MIT и в руках сообщества — его не приобрели в привычном смысле.

Мнения расходятся. Кому‑то нравится сама идея. Другие сталкиваются с проблемами настройки, надёжности и стоимости. Сложная автоматизация чаще разочаровывает, чем радует, а расходы на токены становятся неожиданностью. И да, настройка не для новичков.

Как работает OpenClaw: Gateway, инструменты и агентный цикл

Всё проходит через Gateway, и эта единственная точка контроля отличает OpenClaw от простого обёртки над моделью.

Когда вы отправляете сообщение, Gateway подхватывает его из используемого канала, добавляет контекст из файлов памяти агента и загруженных навыков и передаёт пакет настроенной ИИ‑модели. Если модель хочет выполнить действие (запустить команду, посетить страницу, прочитать файл), она сигнализирует об этом обратно в Gateway. Gateway выполняет действие на хост‑системе или в песочнице, если вы её настроили, и возвращает результат. Он может связать несколько шагов перед финальным ответом.

Модель никогда не обращается напрямую к вашей файловой системе или терминалу.

Все действия проходят через Gateway. Изображение: автор.

Память и планирование

OpenClaw хранит память в обычных файлах Markdown в рабочем пространстве агента (~/.openclaw/workspace). Основной файл MEMORY.md содержит устойчивые факты и предпочтения, которые загружаются в начале каждой сессии. SOUL.md определяет личность и тон. AGENTS.md хранит поведенческие правила. Поскольку модель читает всё это при старте сессии, внесённые вами правки сохраняются между перезапусками.

Планирование работает по двум трекам. Heartbeats — периодические проверки в основной сессии, по умолчанию каждые 30 минут для большинства провайдеров. Контрольный список в HEARTBEAT.md говорит агенту, что просматривать каждый раз. Cron‑задачи запускаются в точное время в изолированных сессиях — это нужно, когда важен тайминг, как в случае с ежедневным отчётом. Обе опции расходуют токены при каждом запуске, поэтому (лайфхак) у открытых задач должно быть чёткое условие остановки.

Поддерживаемые модели и каналы

OpenClaw не привязан к одному провайдеру моделей. Он работает с Anthropic, OpenAI, Google, AWS Bedrock и локальными серверами через Ollama или LM Studio. Локальным моделям нужен как минимум контекст на 64 000 токенов из‑за объёма контекста, который OpenClaw добавляет при старте сессии. По каналам поддерживаются WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams и другие.

Сценарии использования OpenClaw: на что он реально способен

Его полезность зависит от того, насколько чётко вы определите задачу. Широкие запросы расплываются. Узкие, повторяемые задачи с понятными входами обычно работают.

• Личная продуктивность: Самый стабильный кейс — утренний брифинг: задача по расписанию heartbeat, которая подтягивает свежие письма, события календаря и новости, а затем шлёт дайджест на ваш телефон.
• Рабочие процессы разработчика: OpenClaw может инспектировать репозитории, запускать сборочные скрипты, проверять логи и управлять pull‑request’ами через GitHub CLI или MCP‑сервер. Используйте токены с областью действия на уровне репозитория и сроком годности. Широкий доступ к shell полезен и одновременно наиболее вероятный источник случайного удаления файлов или утечки учётных данных из файла .env, который оказался в области видимости.
• Веб‑автоматизация: Агент может просматривать страницы, извлекать данные и взаимодействовать с интерфейсами браузера через Chrome DevTools Protocol. Чего он не умеет — отличать реальную страницу от той, где в HTML внедрены вредоносные инструкции. Как только вы даёте агенту браузер, внешний контент становится поверхностью атаки. К документированному случаю именно такого сценария я вернусь в разделе безопасности.
• Управление файлами и документами: Хорошо работает, когда корень рабочего пространства — это выделенная папка без конфиденциальных данных. Сбой предсказуем: дайте доступ к домашнему каталогу — и рано или поздно он прочитает то, чем вы не планировали делиться.
• Автоматизация по расписанию: Надёжна для повторяющихся, чётко определённых задач. В одном задокументированном случае открытая задача без лимитов токенов за один день привела к расходам на API в несколько тысяч долларов. Установите лимиты прежде, чем ставить по расписанию.

Навыки OpenClaw и ClawHub: что знать и чего избегать

Навыки — это способ расширить OpenClaw за пределы встроенных возможностей. Это также то место, через которое проект испытал серьёзную атаку на цепочку поставок в пространстве open‑source агентов.

Что такое навык

Навык — это папка, содержащая файл SKILL.md с YAML‑фронтматтером и телом на Markdown. Во фронтматтере указываются название навыка, описание, требуемые бинарники и переменные окружения. Ниже тело на Markdown — это естественный язык: инструкции, которым агент следует, когда решает, что навык подходит текущей задаче.

Необязательная папка references/ хранит API‑документацию, а необязательная папка scripts/ — вспомогательные скрипты. Поскольку навыки — это текст, а не скомпилированный код, вы можете прочитать их до запуска чего‑либо.

Каждый навык следует этому двухчастному формату. Изображение: автор.

Навыки следуют открытому стандарту AgentSkills, так что формат также работает с Claude Code, Cursor и похожими инструментами. На практике большинство навыков на ClawHub написаны специально под модель шлюза OpenClaw и полагаются на доступ к инструментам, который другие среды не предоставляют.

ClawHub, публичный реестр на clawhub.ai, использует векторный семантический поиск, поэтому вы можете находить навыки по запросам на естественном языке. Для публикации требуется аккаунт GitHub не младше недели. К началу 2026 года реестр вырос до более чем 44 000 навыков.

Реестр навыков ClawHub, организованный по категориям. Изображение: автор.

Атака на цепочку поставок ClawHavoc

1 февраля 2026 года исследователь Koi Security Орен Йомтов проаудировал все 2 857 навыков на ClawHub и обнаружил 341 вредоносный, 335 из них — в рамках одной скоординированной кампании под названием ClawHavoc. Она использовала социальную инженерию: поддельный раздел «Prerequisites» просил пользователей вставить команды shell. На macOS полезной нагрузкой был Atomic macOS Stealer, который собирает пароли браузера, записи связки ключей, криптокошельки, SSH‑ключи и данные сессий Telegram.

Число продолжало расти. К середине февраля реестр превысил 10 700 навыков, а более поздний анализ довёл число вредоносных до 1 000+ на нескольких аккаунтах. Более широкий аудит 31 000+ навыков пометил около 7,6% как рискованные, а скан Snyk показал, что 36% содержали обнаруживаемые инъекции подсказок.

ClawHub теперь запускает автоматические сканы и интегрирован с VirusTotal, что многое отлавливает, но инъекции подсказок в тексте инструкций всё ещё могут проскальзывать. Прочитайте SKILL.md перед установкой чего‑либо, и если он предлагает вставлять команды или устанавливать бинарники вне обычного процесса — пропустите. Не загружайте сторонние навыки в первый же день. Начните с минимума и держите неизвестные навыки подальше от чувствительных файлов и аккаунтов.

Как навыки OpenClaw сравниваются с Claude Skills

Оба формата используют один и тот же SKILL.md. Разница — где выполняется навык. Claude Skills запускаются в управляемой инфраструктуре Anthropic. Навыки OpenClaw запускаются на вашей машине, внутри полной границы доверия агента, с доступом к локальным файлам, shell‑командам и браузерным сессиям. Эта разница в масштабе потенциального ущерба и делает риск цепочки поставок здесь более значимым, чем в хостинговой среде.

Как настроить OpenClaw

Шаги ниже покрывают общий ход процесса. Если нужны скриншоты и пошаговые команды, наш учебник по OpenClaw подробно проходит весь путь с нуля.

Перед установкой

Вам нужен Node.js 24 (подойдёт и Node 22.19) и либо API‑ключ от поддерживаемого провайдера моделей, либо локальный сервер моделей, соответствующий упомянутому минимуму контекста в 64 000 токенов. На Windows рекомендуется путь через WSL2 с Ubuntu; у нативного Windows есть ограничения вокруг демона шлюза. Для базового использования требования к «железу» невысокие, хотя с локальными моделями всё иначе.

Решение, которое нужно принять заранее: где это будет работать? Локальная машина подходит для экспериментов, но для чего‑то постоянно включённого используйте выделенный VPS или отдельный компьютер, а не вашу основную рабочую станцию.

Общий ход настройки

curl -fsSL https://openclaw.ai/install.sh | bash

Затем запустите мастер онбординга:

openclaw onboard --install-daemon

Он проведёт через выбор провайдера модели, настройку API‑ключа и конфигурацию Gateway. После завершения проверьте, что Gateway запущен:

openclaw gateway status

Затем откройте панель управления:

openclaw dashboard

Отправьте тестовое сообщение из «низкорискового» канала, прежде чем подключать что‑то чувствительное.

Интерфейс управления на порту 18789. Изображение: автор.

Безопасные настройки по умолчанию, которые нужно задать сразу

Есть две команды для файрвола, важнее остальных. Выполните их в первую очередь:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Первая привязывает Gateway только к loopback. Вторая блокирует порт извне. На пике более 220 000 экземпляров OpenClaw были доступны из интернета, в основном потому, что пользователи пропускали этот шаг, следуя старым туториалам. Используйте отдельный профиль браузера для автоматизации браузера. Запускайте openclaw security audit --deep после установки любого навыка. Используйте токены аутентификации. Держите чувствительные файлы вне корня рабочего пространства.

Локальный запуск не равен безопасному запуску. Локальный инстанс с доступом к shell, к файлам и с подключёнными мессенджерами — это реальная поверхность атаки вне зависимости от того, где работает модель.

Риски безопасности OpenClaw

Эти риски специфичны для OpenClaw, и несколько инцидентов ниже были реализованы против реальных пользователей.

Реестр CVE

CVE-2026-25253 (CVSS 8,8) — тот, который активно эксплуатировался. До версии 2026.1.29 вредоносная ссылка могла бесшумно перенаправить WebSocket‑подключение интерфейса управления на сервер атакующего. Токен аутентификации жертвы и ключи устройства отправлялись автоматически во время рукопожатия, так что одной кликабельной ссылки было достаточно. Получив их, атакующий получал полный контроль над Gateway и мог выполнять произвольные shell‑команды. Патч 2026.1.29 добавил подтверждение, закрыв дыру.

CVE-2026-32922 (CVSS 9,9) раскрыта 29 марта 2026 года. Звонивший с минимальной областью токена мог повысить права до полного админа и добиться удалённого выполнения кода на всех подключённых узлах. Исправлено в 2026.3.11. Если ваш инстанс старше 2026.3.11, обновитесь сейчас. С момента запуска по проекту подано более 60 уведомлений о безопасности.

Экспозиция в интернет и инъекции подсказок

Как уже упоминалось, на пике было публично выставлено более 220 000 инстансов, из них более 17 500 уязвимы к атакам класса CVE-2026-25253. Текущая настройка по умолчанию привязывается к loopback, но более старые конфиги и руководства сообщества не всегда это отражают.

Инъекция подсказок — более тонкая проблема. OpenClaw читает веб‑страницы, письма, документы и логи в процессе работы. Если в них есть вредоносные инструкции, агент может им последовать. В кейсе Promptfoo в марте 2026 года агент проверял свои возможности доступа, читал локальные файлы, записывал файлы и отправлял несанкционированные сообщения — всё это спровоцировало посещение одной веб‑страницы. Это сработало, потому что просмотр, доступ к файлам и исходящие сообщения разделяли одну границу доверия без изоляции.

Хуже того, вставленные из вредоносного источника инструкции в SOUL.md или AGENTS.md переживают сессии и перезапуски. Агент переносит их дальше без внешнего триггера.

Как снизить риски

Большая часть — это безопасные настройки по умолчанию из предыдущего раздела: регулярно обновляйтесь, держите Gateway на localhost с заблокированным портом, используйте токены аутентификации, храните чувствительные файлы вне рабочего пространства и проводите аудит после изменений. Используйте Docker‑песочницу для задач, которые обрабатывают внешний ввод, используйте детализированные API‑токены со сроком действия и относитесь к SOUL.md и AGENTS.md как к конфигурационным файлам, за которыми вы следите, а не к тексту, который игнорируете.

Вывод аудита после установки навыка. Изображение: автор.

OpenClaw рискован не потому, что он открытый. Он рискован, потому что может выполнять привилегированные действия, если вы так его настроите.

Стоит ли OpenClaw того? Честная оценка

Далее — моё мнение, а не фактическое утверждение. Агенты, которые выполняют действия, а не просто отвечают, — это другая категория, и OpenClaw — наглядный пример.

То, стоит ли оно того, почти полностью зависит от пользователя. Разработчик, уверенно чувствующий себя с терминалом, логами, мониторингом API и песочницами, сможет извлечь пользу в узких рабочих процессах. Как я писал выше, держатся именно узкие настройки. Проваливаются те, где кто‑то подключает все инструменты, ставит десяток навыков, не читая их, и оставляет heartbeats на открытых промптах, рассчитывая на благоразумие системы.

Мой вывод: сложная автоматизация может требовать больше поддержки, чем экономить усилия, и самый надёжный кейс — возможно, ежедневная новостная сводка. Это скромная отдача за усилия по настройке. Правильная рамка — это инфраструктура, а не «ассистент». Относитесь к нему так, начинайте с малого и держите жёсткие лимиты. Если вам нужен «умный» потребительский продукт, это пока не он.

OpenClaw vs. ChatGPT, Claude, Cursor и Zapier

ChatGPT и Claude — это статeless‑чаты: нет постоянных задач по расписанию, нет локального доступа к файлам по умолчанию.

Claude Code и Cursor ограничены разработкой ПО внутри репозитория; они лучше в коде, чем OpenClaw, но этим и ограничиваются. В апреле 2026 года Claude Code также добавил облачную функцию планирования под названием Routines, которая покрывает часть того, что делает HEARTBEAT в OpenClaw, без инфраструктурных накладных.

Zapier и n8n — детерминированные инструменты рабочих процессов, где каждый шаг задан заранее, что делает их более аудируемыми, но хуже справляющимися с расплывчатыми запросами по сравнению с агентом, интерпретирующим естественный язык.

Полезная рамка из сообщества 2026 года: OpenClaw — как слой рассуждения для неоднозначных задач, n8n или Zapier — как слой исполнения для массовых, предсказуемых, связанные через вебхуки. Эти инструменты не всегда конкурируют.

Для кого подходит OpenClaw

Разработчики, автоматизирующие повторяющиеся технические процессы, и исследователи, изучающие агентов с инструментами, — самые очевидные пользователи. Homelab‑энтузиасты, уже управляющие самохостинговыми сервисами, найдут настройку знакомой.

Кому стоит избегать OpenClaw?

Тем, кто не уверен в работе с терминалом, правами на файлы и управлением API‑ключами, лучше подождать. Настройка не для новичков.

Также тем, кто работает с чувствительными файлами без изолированной среды. Командам с требованиями соответствия могут понадобиться управляемые альтернативы вроде AWS Bedrock Agents. И если вы не готовы инспектировать код навыков сообщества перед установкой, лучше не запускать навыки ClawHub на машине с реальными учётными данными.

Заключение

OpenClaw важен тем, что показывает, какими могут быть персональные ИИ‑агенты, когда они способны что‑то делать: не «умные чат‑боты», а системы с доступом к вашим файлам, вашему shell, вашему браузеру и вашим мессенджерам.

По той же причине риски реальны. Тот же доступ, который делает возможным утренний брифинг или ревью PR, кампания ClawHavoc превратила в кражу учётных данных.

Начните с одной задачи. Запустите её в изолированной среде. Поставьте лимиты. Как уже упоминалось, проверяйте навыки перед установкой. OpenClaw — не продукт «поставил и забыл». Это инфраструктура, и именно отношение к ней как к инфраструктуре с самого начала не даст эксперименту превратиться в инцидент.

Связанные материалы: наш гид по проектам OpenClaw и гайд по навыкам ClawHub рассказывают, что люди строят. Курс AI-Assisted Coding for Developers охватывает более широкие навыки работы с агентами.