[Перевод] Как один разработчик с телефона создал ИИ-агента, который напугал Anthropic, Google и Microsoft одновременно

В феврале двадцать шестого разработчики по всему миру проснулись и поняли: что-то не так. Автоматические агенты, которых оставляли работать на ночь, — упали. Посыпались ошибки аутентификации. Форумы загудели. А из официальных источников — тишина. Полная.

Несколько дней все думали: ну, баг, починят. Потом стало понятно, что чинить никто не собирается. Самый популярный в мире опенсорсный фреймворк для ИИ-агентов тихо, без единого предупреждения, отключили от двух крупнейших поставщиков моделей на планете.

Вот эта история целиком.

Человек, который это придумал

Петер Штайнбергер — человек, который тринадцать лет строил PSPDFKit, движок рендеринга PDF. Штука в итоге оказалась на миллиарде с лишним устройств, среди заказчиков — Apple, Dropbox. Серьёзный, взрослый бизнес.

Потом Штайнбергер отошёл от дел. Начал экспериментировать. Сделал 43 проекта — и ни один не взлетел. Сорок четвёртый он, по слухам, собрал за час. С телефона. Этим сорок четвёртым стал OpenClaw.

Правда, до этого имени проект ещё дожить должен был. Сначала Штайнбергер назвал его Clawdbot — Anthropic прислала претензию по товарному знаку. Переименовал в Moltbot — снова прилетело. Только с третьего раза, под именем OpenClaw, проект наконец перестали дёргать юристы и начали скачивать пользователи. 240 тысяч звёзд на GitHub. Миллионы установок. За недели. Марк Цукерберг — лично, не через помощников — потестил и написал Штайнбергеру с замечаниями.

А что оно, собственно, делало

Тут важно понять одну вещь. Все ИИ-продукты того времени отвечали на вопросы. OpenClaw — работал. Ты ставил ему задачу, и он разбивал её на шаги, а потом сам их выполнял: серфил по вебу, создавал и перемещал файлы, запускал код, отправлял письма, управлял приложениями на рабочем столе. Без твоего участия. Ты не нажимал «далее» — ты шёл спать, а утром получал результат.

Разработчики подключали к нему свои подписки через OAuth — Claude Pro, Google AI Ultra, что угодно. Никакого облачного замка. Полная расширяемость. Бесплатно. Приноси свои ключи — и вперёд. Для людей, которые пишут код, это было то самое недостающее звено: между «ого, красивое демо» и «штука, которая реально делает за меня мою работу».

А потом за дело взялись безопасники

И вот тут начинается совсем другая история.

К началу февраля исследователи безопасности опубликовали отчёты — и они были убийственны. Сканирование интернета выявило 42 665 экземпляров OpenClaw, торчащих наружу без всякой защиты. Просто открытых в публичный интернет. Как входная дверь нараспашку.

Главная уязвимость — CVE-2026-25253, с оценкой CVSS 8.8 из десяти — позволяла выполнить произвольный код в один клик. Механизм такой: злоумышленник обходит проверку источника WebSocket, угоняет токен аутентификации, получает доступ на уровне оператора — и дальше делает на машине жертвы всё, что хочет. Вторая уязвимость, CVE-2026-25157, — инъекция команд ОС через обработку SSH на macOS. Один исследователь ради эксперимента захватил живой, работающий экземпляр. Ушёл час сорок.

Но это было только начало. На маркетплейсе навыков ClawHub всплыло больше 230 вредоносных расширений. Свыше 30 тысяч скомпрометированных экземпляров, по имеющимся данным, превратили в ретрансляционные узлы. Появились целевые кампании по краже данных — инфостилеры, заточенные конкретно под конфиги OpenClaw: OAuth-токены, API-ключи, содержимое долговременной памяти агентов. Всё, что нажито непосильным промптингом.

Пока одни провайдеры закрывают двери — другие их открывают. Сервисы вроде BotHub собирают топовые мировые нейросети в одном окне: GPT-5.4, Claude 4.6 и десятки других. Сравнивайте модели, тестируйте гипотезы, стройте тех самых агентов.

Для доступа не требуется VPN, можно использовать российскую карту.

Хроника удушения

9 января 2026 года. Anthropic тихо, на уровне серверов, заблокировала использование подписочных OAuth-токенов за пределами своих собственных интерфейсов. Ни поста в блоге, ни письма на почту, ни твита — ничего.

Разработчики начали копаться в логах, искать у себя ошибки. Те, кому «повезло» увидеть сообщение, прочитали что-то вроде: «Эти учётные данные авторизованы только для использования с Claude Code и не могут применяться для других API-запросов». Кто-то думал, что сломал конфиг. Кто-то переустанавливал. Путаница продолжалась неделями.

20 февраля. Anthropic наконец опубликовала письменную политику. Блокировка — намеренная. Окончательная. Подписочный OAuth отныне работает исключительно с Claude Code и Claude.ai — собственными продуктами компании. Точка. Корпоративных пользователей с API-ключами это не касается — те продолжают работать как раньше.

22–23 февраля. Подключился Google. Компания начала блокировать аккаунты на Antigravity — своей платформе для ИИ-разработки — если те были связаны с OAuth через OpenClaw. Формулировка: «вредоносное использование» и «серьёзная деградация сервиса». Часть подписчиков AI Ultra — тех, что платили по 249 долларов в месяц — обнаружили, что у них заморожены не только Antigravity-аккаунты, но и основные аккаунты Google. Без предупреждения. Без возврата денег. С почтой, документами и календарями.

Совпадение? Не думаю

А теперь — самое интересное. Посмотрим, что происходило параллельно.

12 января — через три дня после тихой блокировки OAuth — Anthropic выкатывает Claude Cowork на macOS. Десктопный агент с циклом «думай, смотри, действуй». Умеет управлять файлами, наводить порядок в папках, вести исследования, запускать приложения. Работает в пределах директорий, которые ты ему назначил, root не просит. 10 февраля, пока разработчики всё ещё пытаются разобраться, почему у них сломался OpenClaw, — Cowork выходит на Windows.

25 февраля — та самая неделя, когда письменная политика Anthropic и блокировки Google наконец становятся публичными, — Perplexity запускает Perplexity Computer. Продукт оркестрирует больше 19 моделей через параллельных подагентов, способен вести автономные рабочие процессы длительностью от нескольких часов до нескольких месяцев. На промосайте — прямым текстом: «Не давайте ИИ root-доступ к вашему компьютеру». Облачный. 200 долларов в месяц.

26 февраля — буквально на следующий день — Microsoft запускает Copilot Tasks. Встроен в Microsoft 365, выполняет многоэтапные фоновые задачи в выделенном облаке: собирает презентации из писем, рулит расписанием, автоматизирует документооборот. Устройство пользователя может быть вообще выключено. Всё это — в составе подписки Microsoft 365, от 30 долларов за пользователя.

Давайте посчитаем. За шесть недель — от тихой блокировки Anthropic до публичных заморозок Google — три крупнейшие технологические компании мира выпустили собственные продукты автономных агентов. Все три — облачные. Все три — без локальной установки. Все три — за подписку. И все три появились именно тогда, когда единственная бесплатная, открытая, локальная альтернатива оказалась отрезана от инфраструктуры.

Совпадение? Ну, может быть. Может быть.

Звонок из OpenAI

К середине февраля Штайнбергер тратил по десять тысяч долларов в месяц из собственного кармана, чтобы серверы OpenClaw продолжали дышать. Проект отрезан от двух OAuth-путей. На него написаны два CVE. Его активно ломают в реальном времени. И он по-прежнему — самый звёздный репозиторий ИИ-агентов на GitHub.

На Штайнбергера вышли несколько компаний. Он выбрал OpenAI. 15 февраля Reuters сообщил: основатель OpenClaw переходит в OpenAI, проект передаётся в опенсорсный фонд под патронажем компании. Сэм Альтман подтвердил публично. Штайнбергер возглавит следующую фазу персональных агентов OpenAI.

Оцените изящество этой траектории. Проект, названный в честь модели Anthropic. Забаненный Anthropic и Google. Теперь — под крылом OpenAI.

Код остаётся открытым. Дорожная карта, ключевой разработчик и направление продукта — уже нет.

Народ не стал ждать

Сообщество отреагировало мгновенно. Через считанные дни после банов Moonshot AI запустил Kimi Claw — по сути, облачный OpenClaw прямо в браузерной вкладке. Работает круглосуточно, больше 5 000 навыков от сообщества, 40 гигабайт хранилища на каждое рабочее пространство, плюс гибридная опция «Bring Your Own Claw» — для тех, у кого уже развёрнут локальный экземпляр.

25–26 февраля подключился MiniMax — одна из публичных ИИ-компаний Китая — с продуктом MaxClaw. Тот же фреймворк OpenClaw, модель M2.5 — 229 миллиардов параметров, из них примерно 10 миллиардов активных через Mixture-of-Experts. Цена — от одной седьмой до одной двадцатой стоимости сопоставимых моделей. Развёртывается в один клик в Telegram, WhatsApp, Slack и Discord. Постоянная память на 200 с лишним тысяч токенов. Правда, MaxClaw привязан �� одной модели, а Kimi Claw — нет.

По форумам и чатам разработчиков разлетелись списки альтернатив. Туториал «Я собрал более безопасную альтернативу OpenClaw на базе Claude Code» стал вирусным ровно на той же неделе, когда Anthropic опубликовала свой бан.

Что со всем этим делать прямо сейчас

Пять правил — из всего, что произошло:

1. Только API-ключи. OAuth через подписку — всё, забудьте, это закрыто и в политиках, и на практике.

2. Патчите CVE-2026-25253 немедленно. Удалённое выполнение кода в один клик, через угон WebSocket-токена. Все версии до 2026.1.29 уязвимы.

3. Не выставляйте админки наружу. 42 665 открытых экземпляров — наглядное доказательство того, как быстро такие вещи находят и ломают.

4. Проверяйте навыки из сообщества как зависимости. Расширения ClawHub — это ровно тот же риск цепочки поставок, что и npm-пакеты. Относитесь соответственно.

5. Конфиги агентов — это секреты. Системные промпты, файлы памяти, токены шлюзов. Для атакующих они не менее ценны, чем API-ключи.

Дебют

Агенты стали достаточно настоящими, чтобы их забанили, купили и заменили — всё за шестьдесят дней. Дыры в безопасности дали повод. Экономика сделала исход неизбежным. А синхронный залп облачных, подписочных, платформенных агентских продуктов, ударивший сразу после репрессий, — это кейс, который будут разбирать ещё долго.

Баны, CVE, фонд — это не финал опенсорсных агентов. Это момент, когда индустрия впервые признала: за них есть смысл воевать.

А если это дебютный ход — то главный вопрос, на который каждому разработчику стоит найти ответ, звучит так: где должен жить агент — в облаке, на твоей машине или и там, и там — чтобы он продолжал работать, когда правила в очередной раз перепишут?