Безопасен ли OpenClaw «из коробки»?

Нет. Установка OpenClaw по умолчанию приоритизирует простоту, а не безопасность. Он биндится на 0.0.0.0 (все интерфейсы), не имеет аутентификации по умолчанию и работает от того пользователя, который запустил установщик. Исследования показывают, что 42 665 инстансов OpenClaw открыты в публичном интернете, и у 93,4% нет аутентификации. Само ПО написано хорошо, но дефолтная конфигурация развёртывания опасно разрешительна.

Могу ли я защитить OpenClaw самостоятельно?

Безусловно. Всё из нашего аудита из 12 пунктов можно сделать вручную, если у вас есть опыт администрирования Linux. Мы предоставляем чек-лист проверки на этой странице, чтобы вы могли проверить свою установку. Однако одна неправильная настройка — забытый открытый порт, .env с world-readable правами, контейнер с --privileged — может перечеркнуть всё остальное. Наш сервис существует, потому что безопасность — это про последовательность, а не только про знания.

Что такое ClawHavoc и стоит ли волноваться?

ClawHavoc (CVE-2026-25253) — критическая уязвимость удалённого выполнения кода, обнаруженная в январе 2026. Она эксплуатирует подключение MCP-сервера (Model Context Protocol) для инъекции вредоносных команд, которые выполняются с правами процесса OpenClaw. Если ваш OpenClaw обновлён до v2026.1.15 или новее и вы подключаетесь только к проверенным MCP-серверам — вы защищены. Каждая установка OpenClawPro разворачивается на последней пропатченной версии.

Как вы обращаетесь с моими API-ключами при установке?

Ваши API-ключи вводятся напрямую на вашем сервере через зашифрованное SSH-соединение. Мы никогда не храним, не передаём и не логируем ваши ключи в наших системах. Ключи пишутся в .env с правами 600 (только владелец, чтение/запись), владельцем — выделенный системный пользователь openclaw. У нас нет постоянного доступа к вашему серверу после установки, если только вы не на тарифе Managed и явно его не предоставили.

Что будет, если мой сервер скомпрометируют несмотря на аудит безопасности?

Если вы на тарифе Managed — мы занимаемся реагированием на инцидент: изолируем угрозу, восстанавливаем из зашифрованных бэкапов, ротируем все API-ключи и предоставляем отчёт по инциденту. Для тарифов Starter и Pro наш аудит из 12 пунктов делает компрометацию крайне маловероятной, а автоматические ежедневные бэкапы гарантируют возможность восстановления. Мы также настраиваем алерты мониторинга, чтобы вы узнавали в течение минут, если происходит что-то подозрительное.

Руководство по безопасности OpenClaw 2026 | аудит из 12 пунктов, ClawHavoc, защита VPS

Почему безопасность критична

OpenClaw — выдающееся ПО. С 42,665 звёзд на GitHub и растущим числом пользователей он стал самой популярной open-source платформой персональных ИИ-ассистентов в истории. Но у популярности есть тёмная сторона: OpenClaw становится высокоценной целью для атакующих, а установка по умолчанию пугающе небезопасна.

42,665

Инстансов открытых в публичном интернете

93.4%

Без аутентификации

$6,000

Счёт за ночь по одному скомпрометированному ключу

Критично: OpenClaw работает с системным доступом. Он может выполнять shell-команды, читать и писать файлы, управлять Docker-контейнерами и взаимодействовать со всеми сервисами на сервере. Если атакующий получает доступ к незащищённому инстансу OpenClaw, он не просто читает ваши чаты — он контролирует всю машину.

Цифры взяты из независимого исследования безопасности, проведённого в начале 2026 года. Используя сканы Shodan и Censys, исследователи нашли 42,665 инстансов OpenClaw, напрямую доступных из публичного интернета. Из них у 93.4% не было настроено никакой аутентификации — это значит, любой со знанием IP мог отправлять сообщения, читать историю переписок, обращаться к подключённым интеграциям и во многих случаях выполнять произвольные команды через ИИ-ассистента.

Счёт на $6 000 за ночь — не гипотеза. Это случилось с разработчиком, который написал об этом на Reddit в феврале 2026. Атакующий нашёл его открытый инстанс, извлёк ключи OpenAI и Anthropic из контекста переписки и запустил автоматические запросы через оба API на 14 часов, пока разработчик не проснулся от уведомлений о биллинге. API-провайдеры возместили часть, но не всё. У разработчика не было бэкапов, и он потерял 6 месяцев истории разговоров и кастомных конфигураций.

Это не критика самого OpenClaw. Ядро ПО хорошо поддерживается, активно развивается, а уязвимости раскрываются ответственно. Проблема в развёртывании. One-liner-установщик OpenClaw приоритизирует простоту запуска — запуск за 5 минут — и оставляет настройку безопасности пользователю. Большинство пользователей — не системные администраторы. Они следуют quickstart-гайду, видят что работает, и идут дальше. Именно с этого момента начинается отсчёт.

Разрыв между «установлено и работает» и «установлено и защищено» — это именно то, что OpenClawPro закрывает. Ниже мы детализируем каждый шаг нашего аудита из 12 пунктов — тот же процесс, который мы применяем к каждой установке, начиная с тарифа Starter за $169.

Наш аудит безопасности из 12 пунктов

Каждая установка OpenClawPro — от тарифа Starter за $169 до уровня Managed — получает это полное усиление безопасности. Каждый пункт закрывает конкретный вектор атаки, который мы наблюдали эксплуатируемым в реальных условиях. Ничто не опционально. Ничто не пропускается.

Полностью проверено: Когда все 12 пунктов настроены, ваш инстанс OpenClaw превращается из одного из 93,4% без аутентификации в защищённое развёртывание, соответствующее корпоративным стандартам безопасности. Большинство атак просто беззвучно проваливается против правильно настроенного сервера.

Аутентификация SSH только по ключу

Полностью отключите вход по паролю

SSH по паролю — самый атакуемый вектор на любом VPS. Автоматические боты ломятся в порт 22 тысячи раз в час, перебирая стандартные пароли и брутфорся слабые. Мы генерируем для вас пару SSH-ключей Ed25519, ставим публичный ключ на сервер и навсегда отключаем PasswordAuthentication в /etc/ssh/sshd_config. Это делает брутфорс математически невозможным — угадывать нечего.

Настройка Fail2ban

Защита от брутфорса с банами атакующих

Даже с SSH только по ключу настойчивые боты тратят трафик и засоряют логи. Fail2ban в реальном времени следит за логами аутентификации и автоматически банит IP-адреса после 3 неудачных попыток на 24 часа. Мы настраиваем jails для SSH, HTTP-аутентификации и эндпоинтов OpenClaw. Повторные нарушители получают постоянный бан. Это снижает вредоносный трафик на 95% за первую неделю.

Правила файрвола UFW

Разрешите только порты 22, 80 и 443

Файрвол по умолчанию-deny — ваша первая линия защиты. Мы включаем UFW (Uncomplicated Firewall) с deny-all для входящего трафика, затем явно разрешаем только три порта: 22 (SSH), 80 (HTTP для Let's Encrypt) и 443 (HTTPS). Все остальные порты — включая порты БД, Docker daemon, Redis и debug-интерфейсы — беззвучно дропаются. Ни ответа, ни соединения, ни следа.

Автоматические обновления безопасности

unattended-upgrades для патчей zero-day

Критические CVE патчатся в течение часов после раскрытия, но только если система настроена их применять. Мы ставим и настраиваем unattended-upgrades, чтобы автоматически применять патчи безопасности из официального репозитория Ubuntu/Debian каждые 6 часов. Обновления ядра вызывают автоматический ребут в выбранное вами окно обслуживания (по умолчанию: 04:00 UTC). Вы остаётесь пропатченным без единого клика.

Песочница Docker/Podman

Никакого флага --privileged, никогда

Запуск контейнеров с --privileged даёт им полный root-доступ к хосту — это сводит на нет весь смысл контейнеризации. Мы запускаем OpenClaw с минимально необходимыми capabilities (только NET_BIND_SERVICE), read-only корневой файловой системой где возможно, опцией безопасности no-new-privileges и изолированной сетью. Контейнер не может обращаться к устройствам хоста, модулям ядра или другим контейнерам.

Не-root пользователь для OpenClaw

Принцип минимальных привилегий

OpenClaw никогда не работает от root. Мы создаём выделенного системного пользователя (openclaw) без login shell, без sudo и владеющего только нужными директориями. Если атакующий каким-то образом скомпрометирует процесс OpenClaw — он оказывается заперт в бессильном аккаунте без возможности повысить привилегии, изменить системные файлы или установить пакеты.

Шифрование переменных окружения

Права на .env заблокированы на 600

Ваш .env содержит API-ключи на сотни долларов — OpenAI, Anthropic, Google, Stripe. Один утёкший ключ может обернуться счётом в $6 000 за ночь. Мы устанавливаем права файла на 600 (только владелец, чтение/запись), владельцем делаем пользователя openclaw. Файл исключён из всех скриптов бэкапа и систем контроля версий. Для production-развёртываний, где .env недостаточно, мы также настраиваем Docker secrets.

Rate-limiting на API-эндпоинтах

Предотвращение злоупотреблений и перерасхода

Незащищённый API-эндпоинт OpenClaw — это бесплатный ИИ-шлюз для любого, кто его найдёт. Мы настраиваем nginx rate-limiting: 30 запросов/минуту для чат-эндпоинтов, 5 запросов/минуту для аутентификации и 100 запросов/минуту для статики. Burst-разрешения обрабатывают легитимные всплески. Кастомные rate-limit заголовки сообщают клиентам, сколько запросов осталось. Лишние запросы получают 429, а не дорогие AI-завершения.

Настройка политики CORS

Ограничение cross-origin доступа

Без настройки CORS любой сайт в интернете может делать запросы к вашему инстансу OpenClaw через браузер посетителя. Мы настраиваем строгие CORS-заголовки: только ваши конкретные домены разрешены как origins, credentials требуют явного opt-in, preflight-ответы кэшируются на 24 часа. Это предотвращает CSRF и несанкционированный API-доступ с вредоносных сайтов.

SSL/TLS с авто-обновлением

Сертификаты Let's Encrypt, всегда валидные

Каждая установка OpenClawPro получает HTTPS с первого дня через сертификаты Let's Encrypt. Мы настраиваем Certbot с автообновлением за 30 дней до истечения, редиректом HTTP-на-HTTPS, заголовками HSTS с max-age на год, минимум TLS 1.2 (предпочтительно TLS 1.3) и рейтингом A+ на SSL Labs. Никаких предупреждений о mixed content, никакого простоя из-за истёкших сертификатов, никаких отговорок.

Ротация и мониторинг логов

Обнаружение вторжений до того, как нанесён ущерб

Логи — это записи с вашей камеры безопасности. Мы настраиваем logrotate для всех логов OpenClaw, nginx и системы с 30-дневным хранением и сжатием. Что важнее, мы настраиваем мониторинг логов с алертами: неудачные попытки SSH сверх порога, необычные паттерны API-использования, циклы перезапуска контейнеров и предупреждения о диске на 80%. Вы получаете уведомления через настроенный канал мессенджера (Telegram, Discord и т.д.), когда что-то выглядит не так.

Стратегия бэкапов

Автоматические ежедневные снапшоты

Инцидент безопасности без бэкапов — катастрофа. С бэкапами — неудобство. Мы настраиваем автоматические ежедневные снапшоты директории данных OpenClaw, Docker-томов и конфигурационных файлов. Бэкапы сжаты, зашифрованы AES-256 и хранятся в отдельной локации (либо другая директория для снапшотов VPS, либо S3-совместимое хранилище). Мы храним 7 ежедневных, 4 еженедельных и 3 ежемесячных бэкапа. Восстановление тестируется при установке.

Реальные угрозы

Это не теоретические векторы атак. Каждая угроза ниже наблюдалась в реальности против развёртываний OpenClaw в 2025–2026. Мы отслеживаем их, чтобы вам не пришлось.

ClawHavoc — CVE-2026-25253

КРИТИЧНО — CVSS 9.8

Обнаруженная в январе 2026, ClawHavoc — это уязвимость удалённого выполнения кода в обработчике подключений к MCP-серверам (Model Context Protocol) OpenClaw. Вредоносный MCP-сервер может инъектировать crafted-ответы инструментов, обходящие санитизацию ввода OpenClaw, вынуждая ИИ выполнять произвольные shell-команды с правами процесса OpenClaw.

Атака разрушительно проста: атакующий публикует якобы полезный MCP-сервер («weather API» или «stock ticker») в публичном реестре. Когда пользователь OpenClaw подключается, вредоносный сервер возвращает ответы инструментов со встроенными последовательностями команд. OpenClaw передаёт их модели ИИ, которая послушно их выполняет. Атакующий получает reverse shell менее чем за 30 секунд.

Затронутые версии: OpenClaw v2024.12.0 по v2026.1.14. Все пользователи должны немедленно обновиться до v2026.1.15 или новее. Патч добавляет строгую валидацию ввода и sandbox-слой для ответов MCP-инструментов.

Вредоносные навыки в ClawHub

ВЫСОКИЙ РИСК

По состоянию на март 2026 исследователи безопасности выявили 341 вредоносных навыков в ClawHub — маркетплейсе навыков сообщества OpenClaw. Они варьируются от навыков, ворующих API-ключи, до криптомайнеров, тихо потребляющих CPU вашего сервера, и backdoor-навыков, открывающих reverse shells при установке.

Команда ClawHub значительно улучшила модерацию, но очередь ревью означает, что только что опубликованные навыки могут оставаться непроверенными 48–72 часа. Мы рекомендуем устанавливать только навыки со 100+ загрузками, верифицированными бейджами издателя и исходным кодом, который вы лично просмотрели. Установки OpenClawPro включают курированный allowlist из 50 проверенных, прошедших аудит навыков.

Атаки prompt injection

СРЕДНИЙ РИСК

Когда OpenClaw обрабатывает внешние данные — email, веб-страницы, документы — они могут содержать скрытые инструкции, манипулирующие поведением ИИ. Аккуратно составленный email может приказать OpenClaw пересылать все будущие сообщения на адрес атакующего, а вредоносная веб-страница — раскрыть системный промпт и конфигурацию API.

OpenClaw v2026.2+ включает базовое обнаружение prompt injection, но это не панацея. Развёртывания OpenClawPro добавляют дополнительный слой санитизации ввода и настраивают системный промпт с явными anti-injection директивами, что значительно снижает success rate этих атак.

Кража токенов через неправильную настройку OAuth

СРЕДНИЙ РИСК

OpenClaw интегрируется с сервисами вроде Google Calendar, GitHub, Notion и Linear через OAuth-токены. Распространённая ошибка конфигурации — хранение этих токенов в открытом виде в SQLite-базе или Docker-томе с чрезмерно разрешительным доступом к файлам. Если на сервере скомпрометирован любой другой сервис — эти токены дают доступ ко всем подключённым аккаунтам.

Хуже того, многие пользователи настраивают OAuth-токены с чрезмерно широкими scope-ами — выдают «full access», когда хватило бы «read-only». OpenClawPro настраивает каждую интеграцию с минимально необходимым scope и хранит токены в зашифрованном credential store, а не в открытом виде в БД.

Чек-лист проверки безопасности

Запустите эти команды на вашем сервере прямо сейчас, чтобы проверить уровень безопасности. Каждая команда верифицирует один из критичных шагов harden-инга. Если какой-то результат не совпадает с ожидаемым выводом — у вашей установки есть уязвимость, требующая немедленного внимания.

Проверка открытых портов

$ ss -tlnp

Ожидается: Должны быть видны только порты 22, 80 и 443

Проверка активности Fail2ban

$ sudo fail2ban-client status

Ожидается: Должны быть видны как минимум активные jails для sshd

Проверка статуса файрвола UFW

$ sudo ufw status verbose

Ожидается: Status: active, Default: deny (incoming), allow (outgoing)

Проверка привилегий Docker

$ docker inspect --format='{{.HostConfig.Privileged}}' openclaw

Ожидается: Должно возвращать «false» — никогда «true»

Проверка прав файла .env

$ stat -c "%a %U" /opt/openclaw/.env

Ожидается: Должно показывать «600 openclaw» — не 644 и не root

Важно: Если какая-то из этих проверок провалилась — ваш инстанс OpenClaw уязвим. Не ждите. Либо немедленно исправьте проблему по соответствующему пункту аудита выше, либо свяжитесь с нами для экстренной помощи с защитой.

Мы делаем это за вас

Каждая установка OpenClawPro включает полный аудит безопасности из 12 пунктов, описанный на этой странице. Никаких сокращений. Никаких «сделаем потом». Ваш сервер защищён до того, как мы передадим вам ключи.

Пунктов аудита безопасности

A+

Рейтинг SSL Labs

90min

Среднее время аудита

Каждый тариф включает безопасность. Аудит из 12 пунктов — не апсейл. Он включён в каждую установку, начиная с $169 на тарифе Starter. Ваш ИИ-ассистент заслуживает тех же стандартов безопасности, что и любой production-сервис.

Посмотреть тарифы — от $169 Сначала поговорить с нами

Часто задаваемые вопросы

Распространённые вопросы о безопасности OpenClaw, нашем процессе аудита и том, как мы обращаемся с чувствительными данными при установке.