Ви встановили OpenClaw, бо колега не міг зупинитися і розповідав про нього на кожному стендапі. AI-агент — програма, що виконує завдання на вашому комп'ютері без натискання кожної кнопки — керує файлами, поштою, календарем. Ви дали йому shell-доступ (дозвіл виконувати команди безпосередньо в операційній системі). Все виглядало гладко. Автоматизовано. Спокійно.

Ніхто не згадав, що штука, яка виконує команди на вашому ноутбуці, має таку ж модель безпеки, як немодерований магазин додатків зразка 2014 року. Будь-хто з тижневим акаунтом на GitHub міг завантажити 'скіл' — плагін, що розширює можливості OpenClaw — у ClawHub, офіційний маркетплейс. Без рев'ю. Без сканування. Без підписів. Просто на вайбах.

27 березня 2026 року OpenClawd випустив оновлення безпеки з верифікованим скринінгом скілів і runtime-пісочницею — ізольованими контейнерами, які не дають плагінам торкатися чого-небудь за межами їхньої коробки. Це сталося через вісім тижнів після того, як дослідники Koi Security виявили, що 341 із 2 857 скілів ClawHub були малварею. Це 11,9%. Майже кожен восьмий.

Ось хронологія. 30 січня OpenClaw пропатчив CVE-2026-25253 — вразливість (дефект безпеки, достатньо серйозний, щоб отримати офіційний трекінговий номер) із рейтингом 8,8 з 10 за шкалою критичності. Через цю ваду атакуючий міг створити одне посилання, яке при кліку крало ваш authentication token (цифровий ключ, що підтверджує вашу особу) і давало повний remote code execution — можливість виконувати будь-яку команду на вашій машині, ніби атакуючий сидить за вашою клавіатурою.

Трьома днями раніше, 27 січня, перший шкідливий скіл вже з'явився на ClawHub. До 31 січня акаунт під назвою hightower6eu масово завантажував скіли в кожну категорію. Аудит Koi Security від 1 лютого відстежив 335 із тих 341 скілів до однієї координованої кампанії, яку вони назвали ClawHavoc. Корисне навантаження: Atomic macOS Stealer (AMOS) — компактна програма, що збирає паролі з keychain, дані браузерів із 60+ розширень криптогаманців, SSH-ключі (облікові дані, за допомогою яких ваша машина підключається до серверів) та файли з папок Desktop і Documents. До 16 лютого кількість зросла до 824 шкідливих скілів серед 10 700+ записів маркетплейсу.

Тим часом Bitsight просканував інтернет і знайшов понад 30 000 інстансів OpenClaw, що стирчали відкритими на порту 18789 — мережевих дверях, на яких OpenClaw слухає — між 27 січня та 8 лютого. Як висловився Денні Вілсон з OpenClawd: 'Тепер є два способи бути скомпрометованим ще до того, як ви виконаєте свою першу команду OpenClaw.'

Якщо це звучить знайомо — так і має бути. npm — менеджер пакетів JavaScript — мав інцидент з event-stream у 2018 році: довірену бібліотеку зламали, щоб красти криптогаманці. PyPI — індекс пакетів Python — зіткнувся з хвилями typosquatting-атак у 2022 році, коли шкідливі пакети імітували популярні з ледь помітними помилками в назвах. Формула ніколи не змінюється: відкритий маркетплейс плюс нуль верифікації плюс вибухове зростання дорівнює авторам малварі, які рухаються швидше за мейнтейнерів.

Фікс від OpenClawd додає три рівні: пайплайн перевірки (автоматичний аналіз, що блокує підозрілі патерни до публікації), runtime-пісочницю (кожен скіл працює в ізоляції з явними дозволами) та підписані інсталери (криптографічний доказ, що софт не було підроблено). Солідна інженерія. Одна проблема: це покриває лише managed hosting від OpenClawd. Більшість користувачів OpenClaw запускають self-hosted інстанси. Вони не отримують нічого. Ширша екосистема скілів досі не має стандарту криптографічного підпису.

Якщо ви запускаєте будь-якого AI-агента з shell-доступом — OpenClaw чи будь-який інший — ставтеся до нього як до production-сервера. Проведіть аудит, які дозволи він має. Зафіксуйте версії плагінів, щоб оновлення не проникали непомітно. Ніколи не встановлюйте неверифіковані скіли. Вважайте кожен сторонній плагін ворожим, поки не доведено протилежне. Це не параноя. Це ops-гігієна ⚙️

Ера персональних AI-агентів щойно отримала свою першу справжню supply-chain кризу. Прибирання триватиме довше, ніж хайп, що його спричинив. Ваша автоматизація має робити життя спокійнішим — а не віддавати ваші ключі незнайомцю 🫶