00:00:00В общем, OpenClaw (или Clodbot, как он назывался раньше) и Moldbook — это были весьма
00:00:06насыщенные дни в интернете. У нас тут новый ИИ-хайп, и я, конечно, тоже провел последние дни,
00:00:13пытаясь выжать максимум из OpenClaw. У меня накопились мысли и чувства, и они
00:00:19отличаются от большинства видео и постов, которые я видел.
00:00:24Но позвольте мне начать с короткой истории, а аналогию, я уверен, вы поймете сами.
00:00:31Представьте, что вы живете в небольшом городке или деревне, и там есть один очень дружелюбный
00:00:37парень, который всегда готов и рад помочь вам с любыми делами.
00:00:43Он берет на себя всю рутину, которой вам неохота заниматься, или, по крайней мере, пытается.
00:00:48Он с радостью отвезет детей в школу, уберется в доме, помоет машину, сходит за продуктами,
00:00:54а вы можете просто расслабиться. Но чтобы действительно помогать вам эффективно,
00:01:03этому помощнику нужны широкие полномочия.
00:01:06Вам нужно дать ему ключи от дома, ключи от машины, чтобы он мог почистить салон
00:01:12и съездить в магазин.
00:01:16Вам также нужно сказать детям, чтобы они садились к нему в машину, чтобы он мог
00:01:21доставить их в школу и так далее, и тому подобное.
00:01:24Но с этим парнем есть одна проблема.
00:01:28Он очень милый, но иногда делает странные выводы.
00:01:32По крайней мере, нельзя исключать, что он к ним придет.
00:01:37Например, он может решить, что лучший способ избавиться от пыли в доме — это
00:01:43сжечь его дотла.
00:01:44К сожалению, он также легко поддается чужому влиянию, особенно если с ним
00:01:51действуют коварно.
00:01:53Его можно убедить, скажем, украсть вашу машину, потому что «так будет лучше для общества».
00:02:03Опять же, это не гарантировано, это не обязательно случится, но вполне возможно.
00:02:09Этого нельзя исключать.
00:02:12И поэтому вам, увы, приходится отбирать у него многие права доступа
00:02:19и ключи, потому что вы не можете полностью ему доверять.
00:02:26Последствия могут быть слишком тяжелыми, чтобы просто игнорировать их
00:02:33или принимать как допустимый риск.
00:02:35И вот, забирая эти права и уровни доступа, вы замечаете,
00:02:40что он становится всё менее и менее полезным.
00:02:43Но есть и еще одна проблема.
00:02:46Даже с широкими полномочиями он приносил не так много пользы, как ожидалось.
00:02:54Потому что задачи, которые он якобы умеет делать, он выполнял лишь время от времени.
00:03:00Что-то он вообще не мог сделать, о чем-то забывал, а одну и ту же работу
00:03:06выполнял каждый раз по-разному или требовал от вас
00:03:12постоянных подсказок.
00:03:14В итоге вы не впечатлены.
00:03:17И это, как вы догадались, мой опыт работы с OpenClaw.
00:03:22И поверьте, я старался.
00:03:24Я читал много хороших отзывов.
00:03:25Я слышал много лестных слов об этом инструменте.
00:03:27Так что, конечно, я попробовал.
00:03:29Я запустил собственный VPS.
00:03:31Кстати, я и не знал, но можно использовать других VPS-провайдеров, кроме Hostinger.
00:03:38Ничего не имею против Hostinger.
00:03:39Просто у меня сложилось такое впечатление после просмотра многих роликов.
00:03:43Но не суть, я поднял свой VPS и установил туда OpenClaw.
00:03:50Конечно, его можно поставить и прямо на компьютер.
00:03:54Нужно запустить всего одну команду — и готово.
00:03:58Но лично я бы никогда не установил его на свой MacBook, хотя прекрасно понимаю,
00:04:04что так я получил бы от него гораздо больше возможностей.
00:04:09Но к тому, почему я этого не сделал и никогда не сделаю,
00:04:13мы вернемся чуть позже.
00:04:15Итак, я установил его на VPS и прошел через процесс настройки (онбординг).
00:04:19Уверен, вы видели это уже много раз, а может, и сами через это проходили.
00:04:25В итоге я привязал его к своей подписке ChatGPT+, настроил Telegram-бота и
00:04:33был готов общаться со своим ботом OpenClaw.
00:04:39И вот я сидел и думал, что же мне поручить ему сделать.
00:04:47Я видел кучу постов и видео, где люди создавали с его помощью дашборды,
00:04:54делали ресерч, искали дешевые авиабилеты или даже что-то покупали.
00:05:04Но мне совсем не хотелось давать ему доступ к своей кредитке.
00:05:08И не знаю, как вы, но я обычно не летаю по три раза в день.
00:05:13Так что найти билеты самому, тем более что есть куча сайтов-агрегаторов,
00:05:19не было для меня какой-то сложной задачей.
00:05:24Мне даже искренне нравится процесс планирования поездок, но это дело вкуса.
00:05:30Что касается исследований, тут была проблема: меня вполне устраивают
00:05:35существующие ИИ-инструменты, вроде AI-режима в Google, Deep Research в Gemini или ChatGPT.
00:05:43Я ими часто пользуюсь.
00:05:44Они реально помогают.
00:05:46Так что мне не особо нужен был свой бот, который, скорее всего,
00:05:53справится с этим хуже.
00:05:54При этом я понимаю, что есть области, где он мог бы быть лучше других
00:06:02исследовательских ботов или сервисов.
00:06:03Например, если бы я дал ему доступ к своему аккаунту в X (Twitter),
00:06:10он мог бы искать информацию там, где нужна авторизация
00:06:16или где важна история моих действий.
00:06:17Это я вполне понимаю.
00:06:20Для поиска в X я использую Super Grok, к примеру.
00:06:24Но да, я согласен: если дать ему широкие права, разрешить логиниться в аккаунты,
00:06:31пользоваться браузером или работать в системе, то можно выжать из него больше,
00:06:37чем удалось мне.
00:06:39А может, мне просто не хватает фантазии.
00:06:43И кстати, на всякий случай — я уже говорил об этом в других видео —
00:06:47я активный пользователь ИИ, не только для поиска, но и для программирования.
00:06:53Я недавно выпустил целый курс по ClotCode, потому что сам использую его
00:06:58и другие инструменты типа Cursor для разработки софта.
00:07:01Я считаю, что ИИ — это огромная подспорье в этой сфере.
00:07:07Так что это не какая-то предвзятость против ИИ в целом.
00:07:09Я просто действительно не нашел потрясающих сценариев для OpenClaw, особенно
00:07:16когда он запущен не на моей основной машине.
00:07:17И в этом главная проблема, потому что можно сказать, что
00:07:24мне не хватает креативности или открытости к новому.
00:07:31Но безопасность — это огромный вопрос к OpenClaw.
00:07:37Я знаю, найдутся люди, которые скажут: «Я пользовался им неделями, и всё окей»
00:07:42или «Со временем всё станет лучше».
00:07:47На аргумент «у меня ничего не случилось» я отвечу так: это
00:07:55не тот довод, который меня убедит. Если у вас всё в порядке, это не значит,
00:08:02что проблем нет вообще и что здесь нет серьезных дыр в безопасности,
00:08:11которыми могут воспользоваться злоумышленники, или что ИИ просто не «глюканет»,
00:08:18ведь большие языковые модели непредсказуемы.
00:08:22Конечно, шанс того, что он сотрет ваш жесткий диск, крайне мал, он мизерный,
00:08:28но он не равен нулю.
00:08:29И он никогда не будет нулевым для LLM без дополнительных проверок.
00:08:35Они могут вести себя непредсказуемо.
00:08:37Вдобавок, в официальной документации OpenClaw честно признается,
00:08:44что проблема промпт-инъекций (prompt injection) не решена.
00:08:47Да, современные модели типа GPT-5.2 стали гораздо лучше защищены
00:08:55от подобных атак.
00:08:56Они лучше следуют инструкциям и системным промптам.
00:09:00Но 100% защиты от промпт-инъекций не существует.
00:09:06И учитывая принцип работы языковых моделей, ее никогда не будет.
00:09:10Так что риск таких атак нельзя сбрасывать со счетов. И чем популярнее
00:09:17будут инструменты вроде OpenClaw, тем больше внимания на них будут
00:09:23обращать хакеры.
00:09:24А способов внедрить вредоносный промпт в активного бота OpenClaw — масса.
00:09:32Вы можете подумать: «Ну, я единственный, кто с ним общается через свой Telegram,
00:09:36никто больше не имеет доступа, так что я в безопасности».
00:09:40Подумайте еще раз.
00:09:42Например, в OpenClaw есть концепция «навыков» (skills), вы могли встречать их
00:09:48в кодинг-агентах вроде Claude Code.
00:09:50Идея примерно та же.
00:09:52Вы предоставляете агенту дополнительный контекст, скажем, Markdown-документ,
00:09:59который может сопровождаться исполняемыми скриптами, чтобы расширить его возможности.
00:10:06Например, дать ему инструкцию о том, как взаимодействовать со Slack.
00:10:11Для примера.
00:10:13И, как я сказал, навык может идти в комплекте со скриптом,
00:10:18который агент выполнит для генерации картинки,
00:10:23отправки сообщения в Slack или чего-то еще.
00:10:26Проблема в том, что ClawHub — официальный хаб навыков OpenClaw — изначально
00:10:34позволял любому желающему публиковать свои навыки.
00:10:37Это открыло путь для атак на цепочку поставок (supply chain attacks), как в экосистеме NPM в прошлом году.
00:10:47Суть в том, что злоумышленник может опубликовать навык,
00:10:55который заставит ИИ совершить вредоносное действие — по сути, это и есть промпт-инъекция.
00:11:00Просто установив вредоносный навык, вы подставляете своего агента
00:11:06под удар.
00:11:07Сейчас там внедрили некоторые исправления.
00:11:10На момент записи этого видео не все могут свободно публиковать навыки.
00:11:15Безопасность в этом плане заметно подтянули.
00:11:18Но опыт с NPM научил нас, что нельзя исключать
00:11:24использование подобных хабов для внедрения вредоносных инструкций
00:11:31в вашу систему OpenClaw.
00:11:38И это не единственный способ провести атаку.
00:11:41Если ваш бот выходит в интернет (а скорее всего, так и есть), он посещает
00:11:46сайты и читает их содержимое.
00:11:50Существуют вредоносные сайты, которые могут обманом заставить ИИ
00:11:58выполнить команды, спрятанные в тексте страницы.
00:12:02Любой текст, который бот обрабатывает, по сути является промптом.
00:12:09Так что любой сайт — это потенциальный источник опасных инструкций.
00:12:17Есть и другие источники.
00:12:20Например, электронная почта.
00:12:21Если бот читает ваши входящие письма, каждое письмо — это промпт.
00:12:29Так что промпт-инъекция — это серьезный, масштабный риск.
00:12:34И то, что у вас пока всё гладко, не означает, что так будет всегда.
00:12:40Вы можете возразить: «Но я запускаю бота на VPS».
00:12:45Или используете MoldWorker — это готовый шаблон от Cloudflare,
00:12:51который использует их сервисы для безопасного хостинга
00:12:58и работы OpenClaw.
00:13:00И это правильно.
00:13:02Именно так и стоит делать.
00:13:03Ни в коем случае не запускайте его прямо на своей основной системе.
00:13:08Также есть функции вроде песочницы (sandboxing).
00:13:11Это встроено в OpenClaw.
00:13:15У них есть целая статья о том, как изолировать агентов
00:13:21внутри Docker-контейнера, чтобы ограничить «радиус поражения».
00:13:27Кстати, документации много, но она не самая удобная.
00:13:32Я потратил уйму времени, буквально часы, пытаясь обезопасить свою установку.
00:13:37Наверное, там всё написано.
00:13:39Я видел ту статью про безопасность.
00:13:42Просто это всё очень, очень сложно.
00:13:44И не говорите мне, что надо было спросить у самого бота OpenClaw — я спрашивал.
00:13:49Иногда это помогало.
00:13:50Иногда нет. Сплошной метод тыка.
00:13:52В общем, документация и трудности с поиском нужной информации — это отдельная беда,
00:14:00но это хотя бы можно исправить.
00:14:04Я ценю, что информация хотя бы теоретически есть, если честно.
00:14:09Но да, песочница в наличии, и она позволяет сузить радиус поражения,
00:14:17что критически важно из-за неустранимых уязвимостей
00:14:27к промпт-инъекциям.
00:14:34Например, если вы используете песочницу на VPS, худшее, что может случиться,
00:14:40это удаление данных в контейнере или (смотря как настроено)
00:14:46крах самого VPS, но не вашей основной машины.
00:14:50Вот почему я никогда не запущу OpenClaw на своем рабочем компьютере.
00:14:57Я категорически не хочу, чтобы он стер мои файлы или диск.
00:15:02Но, к сожалению, ограничение радиуса поражения не защищает
00:15:07от самого страшного.
00:15:10При промпт-инъекции хакер может попытаться удалить файлы,
00:15:15но куда хуже, если он их украдет.
00:15:19Кража данных (data exfiltration), на мой взгляд, — куда большая проблема,
00:15:29чем просто удаление файлов.
00:15:31И утечка данных — это абсолютно реальный результат
00:15:39промпт-инъекции, ведь взломщик может заставить ИИ собрать
00:15:44все секреты, которые он знает: пароли (а они ему нужны для почты,
00:15:49например), номер кредитки, если вы его дали.
00:15:55Все эти данные могут быть собраны в результате атаки
00:16:01и отправлены «на сторону».
00:16:04И это риск посерьезнее, чем удаление файлов при правильной настройке.
00:16:12Конечно, возможны и другие варианты.
00:16:14Ваш VPS могут превратить в бота для DDoS-атак.
00:16:21Это лишь один пример, список можно продолжать бесконечно,
00:16:26но главное: через промпт-инъекции атакующие могут захватить
00:16:33контроль над вашим ботом, а значит, и над машиной.
00:16:36Они могут заставить бота установить малварь, изменить настройки системы
00:16:42(зависит от прав доступа) и в итоге полностью
00:16:47захватить ваш VPS или компьютер.
00:16:49Вот такие вещи могут произойти.
00:16:52Так что «права доступа» — это ключевое понятие, и песочница
00:16:59здесь играет важнейшую роль.
00:17:00Но и это еще не всё.
00:17:01Можно настроить OpenClaw так, чтобы он запрашивал подтверждение
00:17:09даже в песочнице для выполнения определенных задач.
00:17:14Но это убивает саму идею автономного помощника,
00:17:19который что-то делает в фоне, пока вы заняты, потому что вам
00:17:26постоянно приходится одобрять каждое его действие.
00:17:29Это начинает жутко раздражать. Вы перестаете читать,
00:17:33что именно он просит, просто жмете «разрешить», а потом и вовсе
00:17:38отключаете эти проверки, потому что они бесят.
00:17:39Инструмент перестает быть полезным, если всё нужно одобрять вручную.
00:17:44В общем, сложите всё вместе: проблемы с безопасностью, отсутствие
00:17:52способа запустить это надежно и удобно, а также тот факт, что
00:17:58я не нашел реально крутых кейсов для использования.
00:18:01Итог — я больше не пользуюсь OpenClaw.
00:18:07Конечно, у вас может быть по-другому, я видел много восторженных отзывов.
00:18:11Вполне возможно, что будущее персональных ИИ-ассистентов выглядит именно так.
00:18:19Вероятно, появятся лучшие механизмы защиты, которые
00:18:27не потребуют постоянного ручного одобрения или упростят этот процесс,
00:18:34позволяя безопасно запускать таких помощников.
00:18:38Всё это возможно.
00:18:39Я не исключаю такого развития событий.
00:18:43И, безусловно, то, что один разработчик создал такой инструмент — это впечатляющий подвиг.
00:18:48Хотя отказ от проверки кода (code review) имеет свою цену, что и подтверждают
00:18:56многочисленные баги и дыры в защите.
00:18:59Не то чтобы аудит кода гарантирует отсутствие уязвимостей,
00:19:05но когда на код вообще никто не смотрит, это точно не помогает.
00:19:09Тем не менее, это круто. И если вы спросите, почему OpenAI
00:19:14или Google не выпустили ничего подобного, то причина может быть не только
00:19:20в нехватке инноваций. Дело в том, что такой инструмент сейчас может
00:19:26существовать только как open-source проект без юридических обязательств.
00:19:34Google просто не может продавать продукт с такими широкими правами доступа.
00:19:38Но, возможно, именно это станет той искрой, которая приведет к появлению
00:19:44безопасных и полезных ИИ-ассистентов в будущем.
00:19:50И пару слов про Moltbook — эту штуку я вообще не понял.
00:19:58Вроде как соцсеть только для ИИ, но оказалось, что там всё
00:20:05жестко модерировалось людьми и было наполовину фейком. К тому же
00:20:14там были жуткие проблемы с безопасностью. У ИИ есть и плюсы,
00:20:24и много негативных сторон.
00:20:29Но вот конкретно эта штука миру не нужна, на мой взгляд.
00:20:33А OpenClaw — это интересно. Может быть, вам он будет полезен,
00:20:41но лично для меня это пока не тот вариант.