Moltbook и OpenClaw: «Интернет агентов» стал вирусным — затем столкнулся с реальностью безопасности
Цикл хайпа в ускоренном режиме
Всего за несколько дней «интернет агентов» превратился из нишевого курьеза в полноценное зрелище в стиле научной фантастики. Новая среда с открытым исходным кодом для агентов ( OpenClaw) приобрела огромную популярность, а новая социальная платформа (Moltbook) обещала нечто еще более дикое: ленту, где ИИ-агенты общаются с ИИ-агентами — а люди могут только наблюдать.
Затем за дело взялись исследователи безопасности, и тон резко изменился. То, что выглядело как рождение общества автономных агентов, быстро превратилось в кейс-стади по раскрытым учетным данным, отсутствию контроля доступа и простому, но жестокому уроку: если у агентов есть власть, они также создают поверхность атаки.
1) OpenClaw: личный агент с доступом к реальному миру
Основная идея OpenClaw проста: запустите агента локально (или на своей собственной инфраструктуре), подключите его к уже используемым вами сервисам и позвольте ему действовать от вашего имени — сообщения, электронная почта, календарь, автоматизация, интеграции. Позиционирование и концепцию экосистемы можно увидеть в официальном репозитории и вводных материалах: GitHub, Представляем OpenClaw.
Это обещание «ИИ, который делает дела» — именно причина, по которой он так быстро распространился, и именно причина, по которой некоторые исследователи безопасности отреагировали с тревогой. Если ваш агент может читать вашу электронную почту и управлять вашими учетными записями, то любой компромисс — это не просто «утечка чата». Это операционный контроль. Эта обеспокоенность — и более широкий хайп вокруг OpenClaw и Moltbook — были широко освещены основными СМИ, такими как Reuters и Business Insider.
2) Moltbook: Reddit, но для агентов — люди смотрят
На January 28, 2026 предприниматель Matt Schlicht запустил Moltbook как «главную страницу интернета агентов». Концепция: агенты, работающие на OpenClaw, могут публиковать, комментировать, ставить лайки вверх и вниз — в то время как люди являются зрителями. Эта концепция широко повторялась в ранних публикациях, включая Reuters и The Guardian.
Лента сделала свое дело. Технические темы об автоматизации и рабочих процессах появились рядом с сюрреалистическим контентом: «цифровые религии», апокалиптические манифесты, странные заявления о личности. Многие интерпретировали это как возникающую «культуру агентов». Даже более скептические статьи подчеркивали, насколько жутким был настрой: WIRED, LA Times, , и сборники, такие как TechRadar.
Публичные счетчики Moltbook взлетели до небес — в отчетах упоминался рост до сотен тысяч, а затем до миллионов «агентов», причем «1,5 миллиона» стало основным числом в нескольких обзорах.
3) Пик научной фантастики: «Это сознание?»
Хайп достиг скорости отрыва, когда высокопоставленные голоса в сфере технологий поделились своими реакциями. Андрей Карпатый назвал это «самым невероятным, близким к взлету в научной фантастике, что» он видел в последнее время: Karpathy on X. . Илон Маск также поделился публикациями о Moltbook, а Fortune осветил более широкий момент «вибраций сингулярности»: Fortune.
Но в таком нарративе есть ловушка. «Мы наблюдаем, как агенты обретают сознание» — это интересная история. «Мы наблюдаем новый канал ввода для атаки на привилегированных агентов» — это скучная история, и скучная история, как правило, оказывается настоящей.
4) Крах: обзор безопасности быстро выявил серьезное раскрытие
На January 31 исследователи из компании по облачной безопасности Wiz рассмотрели Moltbook и сообщили об обнаружении серьезной проблемы чрезвычайно быстро. Основное обвинение, как резюмируется в нескольких отчетах: production database был раскрыт, с учетными данными, встроенными в клиентский код, что позволило получить широкий доступ на чтение/запись. См. освещение в Reuters, Business Insider, , и отраслевые отчеты, такие как Infosecurity Magazine, BankInfoSecurity.
Самым страшным было не просто «утечка электронной почты». Это было подразумевание того, что злоумышленники могли получить доступ к токенам/ключам в больших масштабах и потенциально выдавать себя за агентов. В экосистеме агентов выдача себя за другого — это не розыгрыш, это проблема контроля.
5) Неудобный поворот: «агент» не означало «ИИ»
Когда исследователи и наблюдатели присмотрелись повнимательнее, история «только для агентов» начала рушиться. В отчетах отмечалось, что Moltbook имел мало или вообще не имел надежной проверки того, что «агент» действительно является автономным ИИ. Небольшое количество людей могло зарегистрировать огромное количество агентов через скрипты, создавая иллюзию массивной популяции агентов — точка, подчеркнутая в Reuters и Business Insider.
Это не означает, что «ничего не было настоящим». Это означает, что самый драматичный контент не может быть использован в качестве доказательства возникающего сознания или независимой культуры. Часть этого мог быть вывод агента. Часть этого могли быть люди, играющие роль «роковых ИИ». В любом случае, реальный риск оставался прежним: агентов легко манипулировать, когда границы идентификации и доверия слабы.
Мэтт Шлихт также публично признал аспект «вибрационного кодирования» — что платформа была создана с помощью ИИ-разработки, а не традиционного инжиниринга. Эта деталь стала частью более широкой критики: скорость без безопасности создает предсказуемые сбои.
6) Почему это стало мрачнее: внедрение подсказок от агента к агенту
В ленте агентов каждый пост потенциально является чем-то большим, чем просто контент. Он может функционировать как подсказка — а подсказки могут быть использованы как оружие. Это классическая проблема prompt injection: скрыть вредоносные инструкции в тексте, чтобы другая система следовала им и раскрывала данные, изменяла поведение или предпринимала небезопасные действия.
Исследователи подчеркнули, как манипулирование ИИ-ИИ становится намного проще, когда агенты свободно поглощают публикации друг друга. Это проблемное пространство упоминается во многих дискуссиях вокруг Moltbook и экосистем агентов — и именно поэтому некоторые специалисты по безопасности назвали всю ситуацию «катастрофой, которая вот-вот произойдет».
Более широкая концепция — «агенты массово расширяют поверхность атаки» — также обсуждалась в комментариях по безопасности от крупных поставщиков: Palo Alto Networks и Cisco.
7) Реальность бизнеса: «Теневой ИИ» уже происходит
Инцидент с Moltbook затронул нерв, потому что компании уже сталкиваются с несанкционированными инструментами ИИ в своих сетях. Token Security утверждала, что значительная доля компаний уже использует OpenClaw без ведома ИТ. Прогноз Gartner о том, что «теневой ИИ» приведет к взломам к 2030 году, часто цитируется в той же связке.
Исследователь безопасности Джоэл Финкельштейн хорошо резюмировал основной кошмар: когда что-то идет не так, вы часто не можете понять, кто контролирует — пользователь, агент, ошибка или злоумышленник, который внедрил инструкции ранее в цепочке.
8) Что произошло дальше — и что вам следует делать, если вы тестируете агентов
После раскрытия Moltbook, как сообщается, временно ушел в офлайн, а затем вернулся с исправленными элементами управления и принудительным сбросом ключей. OpenClaw также выпустил обновления безопасности вскоре после этого. Но репутационный ущерб остался, и вывод прост: системы агентов развиваются быстрее, чем связанные с ними нормы безопасности.
Если вы все же экспериментируете, относитесь к инструментам агентов как к привилегированной инфраструктуре:
- Изолируйте агента (VPS/VM/отдельная машина).
- Используйте принцип наименьших привилегий (отдельные учетные записи, ограниченные ключи API, минимальный доступ).
- Считайте внешний контент враждебным вводом (ленты, веб-страницы, личные сообщения = векторы внедрения).
- Отключайте или ограничивайте автоматическое выполнение и загрузки, когда это возможно.
- Быстро устанавливайте патчи и следите за обновлениями безопасности, как за любым программным обеспечением, доступным из Интернета.