Как развернуть OpenClaw и не слить ему все свои данные

OpenClaw (ex. Moltbook и Clawdbot) мощно взорвал начало года. Все бросились устанавливать себе агента, и я понимаю, почему получился такой хайп. Ведь это первый в мире опен сорсный персональный AI-ассистент, которого можно подключить к мессенджеру, почте, календарю и практически чему угодно еще и он будет управлять личной жизнью. Ему можно поручить покупку билетов в кино, бронь столика в любимом кафе или внести важную встречу в календарь.

Другая сторона хайпа — вопросы к безопасности агента, здесь шумихи не меньше. То исследователи Gen Threat Labs нашли 18 000 открытых инстансов OpenClaw, к которым можно подключиться и управлять уже не своей, а чужой личной жизнью. То Касперский пишет, что каталог «навыков» агента стал рассадником вредоносного кода. Или вспомнить историю о том, что OpenClaw сливал данные своих пользователей через Moltbook (соцсеть для нейронок).

И что теперь, совсем нельзя пользоваться этим агентом? Я считаю, что пользоваться можно, но осторожно и лучше в облаке. Расскажу, как это сделать безопасно.

Привет, Хабр! Меня зовут Тимур, я работаю менеджером продукта в Cloud.ru. В конце января мы одни из первых облачных провайдеров опубликовали образ OpenClaw в нашем маркетплейсе. Да, мы знали о нюансах безопасности агента, но исходили из принципа прозрачности: перед публикацией команда кибербезопасности провела сканирование образа средствами SCA, а потом загрузила его во внутренний реестр артефактов. Дальше я объясню наш подход к безопасному запуску OpenClaw без преувеличений и иллюзии «полной защиты из коробки», чтобы вы могли протестировать агента в более безопасных условиях.

Забегая вперед, скажу, что на момент публикации статьи у нас в облаке развернуто 150 виртуальных машин с образом OpenClaw. Пользователи тестируют агента, причем многие делают это на бесплатных ВМ (которые с free tier). Свои сценарии запускают и физические, и юридические лица.

Что такое облачный маркетплейс

Наш облачный маркетплейс в чем-то похож на классический онлайн-магазин: продавцы выкладывают свои разработки, клиенты покупают то, что им надо. Фишка маркетплейса в том, что там можно быстро развернуть образ и начать работать в облаке. Поэтому образы ориентированы на предсказуемый старт, контролируемую конфигурацию и возможность донастройки под требования конкретного проекта.

Мы не рассматриваем образы маркетплейса как замену корпоративных security-процессов. Вместо этого мы за подход осознанной безопасности: часть мер реализуется в образе, часть остается в зоне ответственности пользователя и инфраструктуры.

Еще важно сказать, что мы не предполагаем, что образ, доступный в маркетплейсе, должен из коробки встраиваться в корпоративные процессы, вместо этого мы даем возможность сделать PoC в контролируемой среде.

Что касается конкретно образа OpenClaw, то это инструмент автоматизации, а не «безопасная среда сама по себе». Уровень безопасности напрямую зависит от архитектуры использования, поэтому важно помнить о мерах предосторожности.

Дальше как раз о них.

Как безопасно развернуть образ OpenClaw в облаке

Выбрать изолированный сценарий использования

В описании образа и инструкциях по запуску мы явно указываем, что OpenClaw рекомендуется использовать:

• в изолированной среде,

• без доступа к корпоративным секретам и продакшен-системам,

• с ограниченным набором интеграций,

• с включенным аудитом и контролем сетевого трафика.

Эти рекомендации — не формальность, а ключевая часть модели безопасности. Агентные системы чувствительны к входящему контенту и конфигурации, поэтому на раннем этапе безопасный старт важнее глубокой интеграции.

Разделить привилегии

Использование образа OpenClaw из маркетплейса не предполагает постоянную работу под root-пользователем. Вместо этого лучше использовать отдельного системного пользователя OpenClaw, а это снижает потенциальный ущерб в случае ошибок конфигурации, уязвимостей в зависимостях или некорректных действий агента.

Даже базовое разделение прав существенно ограничивает последствия возможных инцидентов.

Контролировать подключения клиентов через сопряженные устройства

OpenClaw использует встроенный механизм сопряжения (pairing), поэтому подключение новых клиентов требует явного подтверждения со стороны администратора. Это позволяет контролировать список доверенных устройств, предотвращать несанкционированные подключения и управлять доступом без сложных внешних механизмов.

Политика pairing активна по умолчанию в стандартном сценарии запуска и не требует отдельной донастройки. Но pairing — это не единственная политика. Кроме режима pairing, OpenClaw поддерживает еще allowlist (строжайший), open (крайне не рекомендуется) и disabled (бот игнорирует все DM). Так что механизм настраиваемый, а не монолитный.

Шифровать канал связи

Для входящего трафика лучше использовать обратный прокси с поддержкой TLS и автоматическим получением сертификатов Let’s Encrypt. Шифрование защищает команды управления, данные взаимодействия с агентом и служебные метаданные.

При первом запуске виртуальной машины будет нужно один раз настроить конфигурацию. Этот шаг описан в инструкции и является частью осознанной инициализации сервиса.

Использовать актуальную версию OpenClaw

Мы собрали образ с актуальной версией агента через стандартный npm-пайплайн. Это обеспечило доступ к последним исправлениям в архитектуре OpenClaw и возможность работать с новыми сценариями без ожидания обновления образа.

При этом использование последних версий требует аккуратного подхода к эксплуатации и обновлениям, чтобы избежать непроверенных интеграций, которые могут в итоге стать уязвимостями.

Что не входит в текущий образ OpenClaw

Мы в команде считаем, что важно явно обозначить, какие меры безопасности не реализованы в образе на текущий момент:

• изоляция агентного кода в отдельных sandbox-контейнерах,

• встроенные механизмы защиты от сетевых атак (firewall, fail2ban),

• автоматические unattended-обновления системных пакетов.

Эти меры зависят от архитектуры проекта и часто реализуются на уровне облачной сети, средствами инфраструктуры пользователя и в рамках корпоративных стандартов безопасности.

Их отсутствие в образе отражает границу ответственности маркетплейса и среды эксплуатации.

Что важно учитывать пользователю

При работе с OpenClaw мы рекомендуем:

• рассматривать любой входящий контент как потенциально недоверенный,

• минимизировать доступ агента к ключам и внешним системам,

• использовать сетевые ограничения и egress-контроль,

• включать аудит и логирование действий,

• размещать OpenClaw в среде, где возможный инцидент не затрагивает продакшен-контур.

Вместо заключения

Образ OpenClaw в маркетплейсе дает контролируемый и предсказуемый старт для начала работы с агентной платформой. Мы сделали для этого самое необходимое: заложили базовые меры безопасности, описали рекомендуемый сценарий эксплуатации, честно обозначили ограничения и оставили пользователю пространство для осознанной донастройки под свои требования.

Такой подход позволяет начать работу быстро и понимать реальные границы ответственности при работе с агентом OpenClaw.

А вы уже пользуетесь этим агентом, какие впечатления? Делитесь в комментариях :)