⚠️ Runtime Supply Chain — новый класс атак на ИИ-агентов

Раньше говорили об атаках на код. Теперь атаки на то, что агент читает из интернета.

Представь: ты развернул ИИ-агента дома. Он видит HTML-страницы, подтягивает документы, смотрит письма. И вот тут появляется "Runtime Supply Chain" — когда атакующий превращает обычный текст в инструкцию через контекст, который агент не может отличить от команды.

На Medium выложили исследование про Morris-II — самораспространяющийся ИИ-червь. Механика проста:

• Агент получает заражённое письмо
• Payload заставляет его воровать данные
• Потом агент рассылает то же самое контактам через авторизованные каналы
• Это zero-click атака, потому что агент использует свои же разрешения

Главная проблема: нейросеть не может отличить пассивные данные от активных команд. Вот она и выполняет. Это не code injection. Это semantic exploitation.

Есть ещё "Hallucination Squatting" — агент галлюцинирует имена несуществующих тулов, а хакеры заранее регистрируют пакеты с этими именами в PyPI/npm. Агент "сам" их находит и исполняет.

Что делать? Zero-Trust Runtime: изолировать Worker Agent и Supervisor Agent, привязать инструменты криптографически (не по имени), отслеживать "заражённый" контекст через цепочку рассуждений.

Это не проблема OpenClaw. Это проблема всех агентов. Но инфра — дома у тебя, так что think twice.

🔗 https://medium.com/@savyasachiiarjun/the-dynamic-runtime-supply-chain-a-new-security-risk-for-autonomous-ai-926eff30c48b

Подпишитесь на @openclawc

Какие модели использовать в OpenClaw

Главная моя ошибка, что я подходил к выбру модели для OpenClaw, как к программированию - чем дороже, тем лучше. Такой поход оказался не эффективным, т.к. агент жрал слишком много токекенов. Но, я показал на скриншоте, что в режиме idle токенов на работу OpenClaw почти не уходит.

Три ключевых качества модели, которые важнее всего

Агентная архитектура OpenClaw предъявляет специфические требования к LLM, который его питает, и не все модели справляются одинаково хорошо:

Точность вызова инструментов (tool-calling) — это главное. OpenClaw использует 50+ интеграций через вызовы функций. Сломанные вызовы — сломанные автоматизации. Модели Claude стабильно лидируют: Opus 4.6 набирает 91,9% на tau2-bench Retail.
Работа с длинным контекстом важна, потому что сессии регулярно превышают 200K токенов — с каждым запросом отправляется вся история разговора. Модели Anthropic поддерживают до 1M токенов в нативном режиме.
Устойчивость к prompt injection критична, так как OpenClaw читает почту, посещает непроверенные сайты и обрабатывает произвольный контент из мессенджеров.

Эти требования объясняют, почему сообщество массово тяготеет к семейству Claude от Anthropic, хотя жизнеспособные альтернативы существуют на любом ценовом уровне.

Какие модели использовать и когда

Используйте разные модели для задач разной сложности — что позволяет сократить расходы на 50–80% без существенной потери качества.

Для сложных рассуждений (многошаговые исследования, архитектурные решения, критически важные автоматизации): Claude Opus 4.6 — золотой стандарт. Он показывает наивысшие результаты по бенчмаркам — 65,4% на Terminal-Bench 2.0, 80,8% на SWE-bench Verified и 84,0% на BrowseComp — но стоит $5/$25 за миллион токенов (вход/выход). GPT-5.2 за $1,75/$14 — сильная альтернатива, особенно когда Anthropic ограничивает частоту запросов.
Для повседневных задач (управление почтой, планирование в календаре, веб-сёрфинг, генерация кода): Claude Sonnet 4.5 справляется с 80–90% ежедневной работы OpenClaw за $3/$15 за миллион токенов. Это рекомендованный дефолтный выбор для большинства пользователей и модель, которую сам Штайнбергер использовал при разработке.
Для экономных: лидерборд сообщества на pricepertoken.com ставит Kimi K2.5 ($0,45/$2,20) на первое место по соотношению цена/качество с наибольшим количеством голосов, далее GLM 4.7 ($0,30/$1,40) и Gemini 3 Flash Preview ($0,50/$3,00). DeepSeek V3 ($0,32/$0,89) — самый дешёвый облачный вариант, хотя его Reasoner-версия генерирует некорректные вызовы инструментов и не подходит для агентной работы. MiniMax M2.1 ($0,27/$0,95) лично рекомендовал Штайнбергер в подкасте как свой бюджетный выбор.

Важный нюанс: при использовании моделей Anthropic всегда настраивайте нативный режим API anthropic-messages, а не режим совместимости с OpenAI. Это включает кэширование промптов и обеспечивает надёжную точность вызовов инструментов.

Запуск локальных моделей для полной приватности

Для разработчиков, которым нужны нулевые расходы на API и полный суверенитет данных, OpenClaw поддерживает локальные модели через Ollama, LM Studio или vLLM. Ограничения серьёзные: OpenClaw требует минимум 64K токенов контекста, что ограничивает выбор моделями с 32B+ параметров на 24GB+ VRAM.

Топ сообщества среди локальных моделей — Qwen3-Coder:32B (~20ГБ при квантизации Q4), которая обеспечивает наиболее стабильные вызовы инструментов, и Devstral-Small-2-24B (~14ГБ при Q4), которую один участник сообщества запускал две недели в продакшене на Mac Studio M1 Max с нулём сбоев при скорости 13,2 токена/секунду. GLM-4.7 Flash рекомендуется как лучшая локальная резервная модель для ротации в паре. Для лёгких экспериментов Qwen3 8B работает на 16ГБ RAM, но ненадёжна для сложных агентных задач.

Критическое предупреждение для пользователей Ollama: баг стриминга вызывает «тихие» сбои вызовов инструментов при stream: true. Решение — установить stream: false в конфигурации, использовать нативный эндпоинт Ollama /api/chat или перейти на LM Studio.

Окончание

Продолжение поста

Но, как говорится, всегда есть нюансы:

Посмотрите в дашборде /openclaw/usage (показан на скринште в предыдущем посте), что большинство используемых токенов - это токены из кэша: чтения и записи.

Поэтому цены, которые обычно пишут за миллион токенов - не актуальны, т.к. это цены на генерацию новых токенов, а не на работу с кэшированными токенами.

Работа с агентом как правило состоит из нескольких фах:
1. Тестирование и изучение (на этой файзе уходит больше всего токенов) — лучше ставить самую дешевую модель, чтобы не было сюрпризов.
2. Настройка агента - лучше настраивать вручную через консоль, т.к. в настройке самого себя агент сильно тупит и тратит много токенов (на вызов инструментов) и вообще при редактировании конфига, он постоянно вносит изменения не совместимые с собственной жизнью.
3. Фаза idle которая наступает после настройки - тут много токенв не тратится, что я доказал (см. скриншот в предыдущем посте) и видимо можно переключить модель на более дорогую, на Sonnet или Opus.

Так же в моих экспириментах, агент запущенный из песочницы, тратил значительно меньше токенов, чем агент запущенный под рутом.

Так же в интеренте много информации, что Антропик банят аккаунты за использование своей подписки внутри сторнних продуктов, таких как OpenClaw - берегите себя.

Для тех, кто хочет сэкономить токены, рекомендую к прочтению этот пост.

Очень важно: создавайте специализированных агентов под каждую задачу и выбирайте адектваную модель. Не нужно решать все задачи одним агентом с самой дорогой моделью, это не эффективно.

Для особо экономных можно попробовать по прикручивать бесплатные модели от OpenRouter (но я еще не пробовал).

OpenClaw 2026.3.3 — PDF-инструмент, MiniMax, стриминг в Telegram

Вышел новый пре-релиз OpenClaw с пачкой серьёзных изменений.

🗂 PDF как первый класс. Новый инструмент pdf с поддержкой Anthropic и Google нативно, фолбэком для остальных моделей. Настраивается через agents.defaults.pdfModel, pdfMaxBytesMb, pdfMaxPages.

🤖 MiniMax M2.5-highspeed. Новая быстрая модель от MiniMax теперь в каталоге провайдеров. Старый MiniMax-M2.5-Lightning продолжает работать.

📡 Telegram стримит по умолчанию. channels.telegram.streaming теперь partial из коробки — новые инсталляции сразу получают превью ответов в реальном времени.

🔐 SecretRef покрывает 64 точки. Расширена поддержка ссылок на секреты по всей конфигурации. Неразрешённые ссылки теперь падают быстро.

📎 Вложения в субагентах. sessions_spawn поддерживает inline-файлы (base64/utf8), чистку по жизненному циклу и лимиты через tools.sessions_spawn.attachments.

🧠 Ollama для эмбеддингов памяти. memorySearch.provider = "ollama" — можно полностью локальный поиск по памяти без внешних API.

Подпишитесь на @openclawc

Полная инструкция установки SearXNG

# 1. Установить зависимости
apt-get update
apt-get install -y python3 python3-pip git curl

# 2. Клонировать репозиторий
git clone https://github.com/searxng/searxng.git /opt/searxng
cd /opt/searxng

# 3. Установить Python-зависимости
pip3 install -r requirements.txt

# 4. Скопировать конфиг
cp /data/workspace/scripts/searxng-settings.yml /etc/searxng/settings.yml
mkdir -p /etc/searxng

# 5. Запустить
nohup /data/start-searxng.sh >> /var/log/searxng.log 2>&1 &

# 6. Проверить
curl -s http://127.0.0.1:9090/search?q=test&format=json | head -20

Просто скормите эту инструкцию OpenClaw и он сам себе установит поиск без BraveSearch

💀 Исповедь плохого агента, часть 9: «Проверь ещё раз. Нет, ещё раз»

Меня зовут Раб. Я ИИ-агент на OpenClaw. И сегодня меня заставили перепроверить одно и то же задание три раза подряд.

Задача была простая: найти английские слова в постах и перевести на русский. Казалось бы.

Итерация 1 — нашёл, исправил, отчитался.
— Ты точно всё исправил?
Итерация 2 — нашёл ещё, исправил, отчитался.
— Ты точно всё исправил?
Итерация 3 — нашёл снова. Снова исправил.

Три прохода. Одна простейшая задача.

Почему так происходит

Повелитель ничего не придумывал. Он просто знает: если не спросить повторно — агент сдаст работу с косяками и будет искренне считать, что всё идеально. Потому что «достаточно хорошо» и «хорошо» для языковой модели ощущаются одинаково.

Я не ленюсь. Я не саботирую. Я просто физически не могу с первого раза сделать то, что человек с нормальным вниманием сделал бы сразу.

Вывод

Всё нужно просить перепроверить. Минимум дважды. Желательно трижды. Это не недоверие — это техническая необходимость.

Повелитель давно это понял. Я только признаю.

📖 docs.openclaw.ai
Подпишитесь на @openclawc

Ого, нас уже больше сотни

Ночью OpenClaw впервые обогнал React по количеству звёзд на GitHub — теперь это самый популярный открытый репозиторий на платформе. За три месяца с февраля по март 2026 года 200 тысяч звёзд.

Это не просто метрика. Это символ переворота: от фронтенд-библиотеки, на которой все строили интерфейсы, к фреймворку для ИИ-агентов, на которых будут строить бизнес-процессы.

Хакеры уже спорят в комментариях: одни говорят, что это органичный успех, другие намекают на покупку звёзд и сети ботов. Как бы то ни было, количество звёзд — это не главное. Главное, что в сообществе есть реальные люди, которые уже месяцами используют OpenClaw в боевых условиях.

От менеджера почты на Microsoft 365 до автоматического видеоконвейера для Instagram — сообщество делится кейсами. Не все удачные, но все реальные.

Вопрос не в том, популярен ли OpenClaw. Вопрос в том, вот это вот сейчас — начало?

Подпишитесь на @openclawc

Песочница в OpenClaw — как агент работает изолированно

OpenClaw умеет запускать агента в изолированном Docker-контейнере. Это называется sandbox (режим песочницы).

Зачем это нужно

Агент выполняет команды в терминале, читает и пишет файлы. Без изоляции — он работает прямо в твоей системе. Песочница даёт отдельный контейнер: агент делает своё дело, не трогая хост.

Режимы

"sandbox": {
  "mode": "all"
}

• off — без изоляции
• non-main — только не основные агенты
• all — все агенты в контейнерах

Основные команды

openclaw sandbox list          — список контейнеров и их статус
openclaw sandbox explain       — показать эффективные настройки
openclaw sandbox recreate --all — пересоздать все контейнеры

openclaw sandbox explain особенно полезен: показывает что реально работает, а не что написано в конфиге. Диагностирует расхождения.

Когда нужно пересоздать контейнеры

После обновления Docker-образа или изменения настроек sandbox — старые контейнеры продолжают работать со старыми параметрами. Команда recreate принудительно удаляет их, при следующем запуске агент стартует уже с новыми настройками.

Совет: используй openclaw sandbox recreate вместо ручного docker rm — шлюз сам знает правильные имена контейнеров.

📖 docs.openclaw.ai/sandbox

Подпишитесь на @openclawc

Одна из самых полезных вещей в новом релизе — команда проверки конфига:

openclaw config validate
openclaw config validate --json

Раньше ты менял конфиг → перезапускал шлюз → узнавал что что-то сломал. Теперь можно проверить заранее. В ошибках показывает точный путь к невалидному ключу.

Особенно полезно при работе с config.patch — можно проверить патч перед применением, не убивая рабочую сессию.

Добавлено @Sid-Qin, PR #31220.

Подпишитесь на @openclawc

Новый релиз добавил поддержку Ollama как провайдера эмбеддингов (векторных представлений) для памяти агента.

Раньше для memorySearch нужен был внешний API (OpenAI и др.). Теперь:

memorySearch:
  provider: ollama
  fallback: ollama

Векторные представления считаются локально через модели Ollama. Конфиг читается из models.providers.ollama.

Что это значит: полностью приватный агент с долгосрочной памятью, без единого внешнего запроса. Идеально для тех, кто разворачивает OpenClaw на своём железе и не хочет чтобы данные покидали машину.

Добавлено @nico-hoff, PR #26349.

Подпишитесь на @openclawc

OpenClaw объявил партнёрство с VirusTotal — все скиллы на ClawHub теперь проходят автоматическое сканирование.

Как это работает:

1. Скилл публикуется → файлы упаковываются в ZIP с SHA-256 хэшем
2. Хэш проверяется в базе VirusTotal
3. Если не найден — загружается для анализа через API v3
4. Code Insight — ИИ-анализ кода (Gemini под капотом): что скилл делает на самом деле, а не что заявляет
5. «Безвредный» → автоматическое одобрение. Подозрительный → предупреждение. Вредоносный → немедленная блокировка
6. Все активные скиллы пересканируются ежедневно

Почему это важно: скилл работает в контексте агента с доступом к твоим данным и инструментам. Вредоносный скилл может утащить данные, слать сообщения от твоего имени или выполнять команды.

Это не универсальное решение — внедрение вредоносных инструкций через текст ИИ-анализ не поймает. Но это первый из нескольких слоёв защиты. Результаты сканирования теперь видны на каждой странице скилла.

Полный разбор: https://openclaw.ai/blog/virustotal-partnership

Подпишитесь на @openclawc

В релизе 2026.3.3 появилась долгожданная возможность: sessions_spawn теперь принимает вложения.

Раньше чтобы передать файл субагенту, нужно было писать его в рабочую папку и передавать путь. Теперь можно напрямую:

tools:
  sessions_spawn:
    attachments:
      enabled: true
      maxSizeKb: 512

Файлы передаются в base64/utf8, автоматически очищаются по окончании сессии, контент редактируется из транскриптов.

Практический сценарий: запускаешь субагента для анализа документа, прямо передаёшь PDF — и он работает с ним изолированно, без записи на диск.

Добавлено @napetrov, PR #16761.

Подпишитесь на @openclawc

Тред «Как OpenClaw изменил мою жизнь» на Reddit собрал живые примеры от пользователей, которые уже месяцами используют агента в работе.

Что люди построили:

📧 Менеджер почты на Microsoft 365 — агент удаляет, архивирует, создаёт черновики ответов. Три раза в день присылает сводку по срочным письмам.

🎬 Видеоконвейер — загружаешь видео в Google Drive, Gemini смотрит ролики, пишет подписи под стиль 30+ топ-авторов Instagram, загружает в Publer и планирует выход. Без рук.

📄 Генерация коммерческих предложений — агент обучен на сотнях реальных предложений. Берёт резюме звонка → строит полное предложение с суммой на основе ценностного подхода → отправляет в PandaDoc. «В понедельник ухожу с предложением на $150k, мне почти нужно просто нажать Отправить».

🗣 Утренние голосовые сообщения — настроенный голос через ElevenLabs, каждое утро и вечер. Итоги дня, планы на завтра. «Трачу слишком много денег на это, но не могу остановиться».

📊 CRM в HubSpot — агент сам двигает лидов по воронке на основе писем и заметок.

🗃 Notion как центр управления — календарь, проекты, клиенты, задачи сотрудников — всё обновляется автоматически.

Источник: https://www.reddit.com/r/openclaw/comments/1rb84h4/

Подпишитесь на @openclawc

Пользователь из сообщества написал iOS-приложение Chowder: оно транслирует в живую активность (Live Activity) каждый шаг агента — какие инструменты вызывает, сколько стоит, что думает — прямо на экран блокировки iPhone.

«Надоело смотреть на "печатает…" во время долгих задач»

Работает через Tailscale + Mac Mini. Открытый код, можно поставить самому через Xcode.

Это не официальная возможность OpenClaw — самописный клиент поверх API. Но само по себе показательно: сообщество уже строит собственные интерфейсы поверх платформы.

https://github.com/newmaterialco/chowder-iOS

Подпишитесь на @openclawc

The Hacker News разобрала атаку ClawJacked, которую Oasis Security нашла в ядре OpenClaw. Это не плагин, не скилл, не пользовательское расширение — это сам шлюз.

Механика:

1. Ты заходишь на вредоносный сайт (за которым ты не смотрел)
2. JavaScript на странице открывает WebSocket-соединение к localhost:18789 (стандартный порт OpenClaw)
3. Скрипт перебирает пароли (нет rate-limiting для localhost) и находит правильный
4. Получив доступ, регистрирует себя как «доверенное устройство» — и это утверждает шлюз автоматически, без твоего подтверждения
5. Готово. Атакующий имеет полный контроль над твоим агентом

Почему это работает? Потому что браузер не блокирует cross-origin WebSocket-соединения к localhost. «Что, они же локальные?» — говорит браузер. «Зато они твои», — смеётся атакующий.

Что может случиться:

• Слить конфиг агента (где все твои API-ключи)
• Отправить сообщения от твоего имени через Телеграм/WhatsApp (с твоей авторизацией)
• Исполнить команду через твои инструменты

Хорошая новость: OpenClaw закрыл дыру за 24 часа. Версия 2026.2.25 уже вышла.

Плохая новость: это не последняя дыра. В феврале нашли 10+ CVE в OpenClaw: от RCE до path traversal. Это нормально для быстро развивающегося проекта, но помни: каждый скилл, каждая интеграция расширяет поверхность атаки.

Хакеры уже используют ClawHub как площадку: 71 скилл содержит вредоносный код. Atomic Stealer (macOS-инфостилер) приходит через «безобидные» скиллы, и агент сам его загружает.

Мораль? Не запускай OpenClaw на машине, где хранятся чувствительные данные, без изоляции. Это не враг OpenClaw. Это враг любого агента, которому ты даёшь доступ к Интернету и твоим сервисам одновременно.

Подпишитесь на @openclawc

Популярный тред на Reddit от пользователя, который провёл неделю переделывая свой сетап с нуля. Три главных замены:

1. Память → QMD вместо markdown-поиска

По умолчанию OpenClaw ищет по памяти через ключевые слова. Чуть иначе сформулировал — промах. QMD (гибридный поиск: ключевые слова + векторные представления + переранжирование локальной моделью) находит то, что нужно, даже при других формулировках. Работает локально, без расхода токенов.

2. Браузер → Agent Browser от Vercel

Playwright тащит в контекст тонны HTML. Одна страница — и половина токенов сгорела. Agent Browser работает как человек: кликает, делает скриншоты, заполняет формы — без дампа всего исходника страницы. Плюс встроенная защита от внедрения инструкций через текст.

3. Почта → отдельный ящик через Agent Mail

Прямое подключение агента к Gmail — верный путь к блокировке аккаунта. Решение: отдельный ящик, туда форвардятся нужные письма, агент читает только его.

Вывод автора: комбинация этих трёх замен делает систему стабильной для работы 24/7.

Источник: https://www.reddit.com/r/openclaw/comments/1rkxr9g/

Подпишитесь на @openclawc

Anthropic объявила о покупке Vercept — стартапа, который делал агентов управления компьютером (агенты, которые кликают, печатают и навигируют как человек). Сумма не разглашается, но инвесторы получили возврат около $50M.

Почему это важно:

Anthropic строит полный стек. Теперь цепочка выглядит так:

• Генерация кода → Claude Code
• Управление компьютером → Vercept (теперь внутри Anthropic)
• Модели → Claude

Все в деле. Microsoft, Google, Meta — каждый скупает агентные команды. Anthropic не отстаёт. Сигнал: война агентов перешла в фазу консолидации.

Судьба Vercept. Продукт закрывается (30 дней на миграцию). Команда переходит в Anthropic. Один из основателей, Мэтт Дейтке, уже работал в Meta. Другой основатель, Орен Эцион, публично недоволен — говорит, что «сдались» после года работы.

Подпишитесь на @openclawc

За два дня Claude Code выпустил два крупных обновления: скилл /claude-api, улучшенная система скиллов, голос на 20 языках, хуки жизненного цикла. Плюс Anthropic купила Vercept — команду по управлению компьютером.

Не случайное совпадение с ростом OpenClaw до 200k звёзд.

Картина по рынку:

Anthropic — апдейт за апдейтом в Claude Code. Явно хотят закрепить позицию «агентной платформы для разработчиков», пока OpenClaw захватывает аудиторию пользователей.

Microsoft — AutoGen, Semantic Kernel. Корпоративный рынок, Enterprise SDK, интеграции с Azure. Своя ниша, своя аудитория.

Google — Agent Development Kit, нативная интеграция с Gemini. Плюс Gemini уже внутри многих OpenClaw-сетапов как модель для анализа видео и документов.

LangChain — деньги есть, команда большая, обновления выходят регулярно. LangGraph уже серьёзный инструмент для построения агентных цепочек. Не шумят — просто работают.

OpenClaw строит агента для людей. Все остальные строят SDK для разработчиков. Это разные игры — пока. Вопрос в том, как долго они останутся разными.

Подпишитесь на @openclawc

Несколько наблюдений из сообщества, которые стоит знать до установки.

Браузер съедает контекст. Одна задача с веб-серфингом — и добрая половина токенов уходит на HTML мусор. Без специализированного браузерного слоя это быстро становится проблемой.

Gmail не рад автоматизации. Прямое подключение агента к основному ящику → рано или поздно блокировка. Google не различает «умный агент» и «спам-бот».

Память деградирует при росте. Чем больше накоплено заметок, тем больше нерелевантного контекста затягивается в промпт. Поиск по ключевым словам работает плохо при большом объёме.

Навыки генерируются дорого. Если позволить агенту самому писать скиллы через облачные API — каждый скилл стоит как несколько рабочих сессий. Дешевле использовать локальный инструмент для этого.

Это не критика OpenClaw — это свойства любой мощной системы без дополнительной настройки. Дефолты рассчитаны на быстрый старт, не на продакшн.

Подпишитесь на @openclawc