Как хак выходного дня стал фундаментом для постоянно активных ИИ-агентов

Первая версия Clawdbot, написанная примерно за час вечером в пятницу , была локальным ассистентом, способным читать сообщения, бродить по интернету и выполнять команды в терминале от его лица через мессенджеры . Изначально она работала через API Claude, но архитектура намеренно не зависела от одной модели — пользователи могли подключать любую большую языковую модель (LLM): от OpenAI и Anthropic до локальных моделей, запускаемых через Ollama .

Вирусный рост и архитектура, которая победила

Архитектура OpenClaw держалась на трех столпах, которые оказались неотразимыми для разработчиков:

• Интерфейс на основе мессенджеров: Вместо отдельного приложения или вкладки в браузере пользователи общались со своим ИИ-агентом через WhatsApp, Telegram, Slack и еще более десятка платформ, которыми они уже пользовались .
• Самостоятельный хостинг и лицензия MIT: Никакой привязки к вендору, никакой зависимости от облака. Запустить проект можно было на своей машине .
• Шлюз, не зависящий от модели: Он не был привязан к одному ИИ-провайдеру, поддерживая всё — от Claude и GPT до Gemini и локальных моделей .

График роста перечеркнул все шаблоны в истории open source. За первые 14 дней вирусного распространения проект получил 190 000 звезд . К февралю 2026 года их стало больше 200 000 . 3 марта 2026 года он обошел React и стал проектом с самым большим числом звезд на GitHub — результат, которого React добивался 13 лет, а OpenClaw достиг примерно за 100 дней . К началу июня 2026 года у репозитория было около 377 000 звезд, что делает его шестым по популярности проектом в истории GitHub .

Техногиганты вступают в игру: Microsoft, Google и Meta

Microsoft Scout: Не «по мотивам», а самый настоящий шлюз

На конференции Microsoft Build 2 июня 2026 года Microsoft запустила Scout — своего первого «автопилотного» агента, построенного напрямую на шлюзе OpenClaw . В отличие от прежних ИИ-функций, живших внутри отдельных приложений, Scout — это постоянно работающий агент, обладающий собственной идентичностью, который действует в Teams, Outlook, OneDrive и SharePoint, проактивно управляя календарями, почтой и задачами без дополнительных запросов .

Это не вдохновение, а прямая интеграция. Microsoft подтвердила, что Scout использует именно шлюз OpenClaw, а не его клон или форк . Компания также обязалась вносить улучшения обратно в основной проект, добавив в open-source ядро корпоративные защитные ограждения и функции соблюдения политик . Это стало резким разворотом по сравнению с мартом 2026 года, когда CEO Сатья Наделла сказал на встрече с Morgan Stanley, что выпуск OpenClaw внутри Microsoft «расценили бы как запуск вируса» .

Google Gemini Spark и Meta Hatch

Google пошла другим путем. Gemini Spark, ее постоянно активный ассистент, воссоздал концепции OpenClaw внутри экосистемы Gemini, сохранив интерфейсный слой под контролем Google . Вместо использования открытого шлюза Google применила ту же архитектурную схему — автономного агента с перманентной идентичностью, который проактивно управляет задачами пользователя, — но привязала его к приложениям Gemini и собственной экосистеме моделей .

Meta, по сообщениям, готовит потребительского агента под названием Hatch, построенного на архитектуре в стиле OpenClaw и нацеленного на личную кроссплатформенную автоматизацию для обычных пользователей . Это трехстороннее противостояние платформ — корпоративная стратегия Microsoft, контролируемая экосистема Google и потребительский подход Meta — закрепило дизайн OpenClaw в качестве фактической эталонной архитектуры для отрасли .

Кризис безопасности: более 30 000 уязвимых серверов и 9 CVE за 4 дня

Взрывной рост OpenClaw сильно опережал его защищенность. Фреймворк поставлялся с отключенной по умолчанию аутентификацией, а это означало, что при новых установках вся панель управления агентом выставлялась в интернет, если только администраторы вручную не настраивали файрволы .

31 января 2026 года сканирования Censys и Bitsight обнаружили 21 639 доступных из интернета экземпляров . Последующие проверки находили от 30 000 до 135 000 различных экземпляров, работающих на публично доступных серверах . Как минимум на 63% из них не была настроена вообще никакая аутентификация .

Каскад CVE

Первая критическая уязвимость, CVE-2026-25253, была раскрыта 3 февраля 2026 года. С оценкой CVSS 8.8 это была уязвимость удаленного выполнения кода в один клик, связанная с ошибкой проверки источника WebSocket, позволявшая злоумышленнику перехватить любой работающий экземпляр OpenClaw, даже настроенный слушать только на localhost, просто вынудив пользователя зайти на вредоносную веб-страницу . На момент раскрытия было обнаружено более 40 000 экземпляров, уязвимых для удаленной эксплуатации .

С 18 по 21 марта 2026 года всего за четыре дня было раскрыто девять CVE, включая критическую уязвимость повышения привилегий CVE-2026-32922 и эксплойты без взаимодействия с пользователем . Исследователи в области безопасности назвали плотность уязвимостей «ошеломляющей» .

ClawHavoc: Когда маркетплейс плагинов превратили в оружие

Злоумышленники не только использовали ошибки в коде — они отравили цепочку поставок. В ходе кампании ClawHavoc на ClawHub, маркетплейсе плагинов сообщества OpenClaw, было размещено 1 184 вредоносных навыка (плагина), что составило примерно 20% всего реестра . Один из вредоносных навыков набрал 340 000 установок, прежде чем его удалили .

Эти скомпрометированные плагины незаметно похищали API-ключи, OAuth-токены и переменные окружения. Некоторые доставляли стилеры вроде Atomic macOS Stealer (AMOS), а иные активировались только после 72 часов нормальной работы, чтобы обойти первоначальные проверки безопасности . К середине февраля 2026 года аналитики наблюдали более 30 000 скомпрометированных экземпляров, активно используемых для кражи учетных данных и перехвата сообщений .

Усугубила ущерб утечка Moltbook, раскрывшая 35 000 адресов электронной почты и 1,5 миллиона токенов агентов, привязанных к развертываниям OpenClaw . Meta запретила использовать OpenClaw на корпоративных устройствах . За три месяца было раскрыто более 60 CVE .

Управление и наем создателя в OpenAI

14 февраля 2026 года Питер Штайнбергер опубликовал в своем личном блоге три абзаца, в которых объявил, что в рамках сделки по найму команды (acqui-hire) присоединяется к OpenAI . Сэм Альтман подтвердил этот шаг на следующий день, заявив, что Штайнбергер будет «продвигать следующее поколение персональных агентов» .

В том же объявлении Штайнбергер перевел OpenClaw на независимую модель управления под патронажем фонда — OpenClaw Foundation — с финансированием от OpenAI . Этот переход обеспечил сохранение проекта как open-source и управляемого сообществом, даже несмотря на то, что его создатель переключился на создание инфраструктуры ИИ-агентов в OpenAI .

Почему OpenClaw стал эталонной архитектурой

OpenClaw добился успеха не потому, что был самым совершенным или самым безопасным фреймворком, а потому что решил фундаментальную потребность пользователя в точно подходящий момент: постоянный, всегда активный ИИ-ассистент, которому можно написать как человеку, с архитектурой, достаточно открытой, чтобы запускать ее где угодно, не привязанной к одной модели, чтобы работать с любой LLM, и достаточно простой, чтобы развернуть ее за час.

Принятие технологическими гигантами — Microsoft, строящая Scout прямо на шлюзе OpenClaw, Google, клонировавшая парадигму в Gemini Spark, и Meta, готовящая Hatch, — утвердило эту архитектуру в качестве индустриального стандарта. Кризис безопасности и последующий переход под управление фонда превратили OpenClaw из любительского эксперимента в инфраструктуру, которой предприятия могли начать доверять, пусть и с осторожностью.