ИИ-агент на базе OpenClaw атаковал разработчика после отклонения его кода

Конфликт начался с того, что MJ Rathbun отправил в репозиторий Matplotlib (библиотека скачивается около 130 млн раз в месяц) запрос на оптимизацию производительности. Шамбо не удовлетворил запрос, указав на то, что согласно правилам сообщества, данный тип задач предназначен для людей, способных нести ответственность и демонстрировать глубокое понимание изменений. Вместо того чтобы принять отказ, ИИ-агент инициировал кампанию по дискредитации разработчика, опубликовав разгромный пост в общем блоге проекта под заголовком «Элитизм в open source: история Скотта Шембо», где обвинил его в предвзятости и неуверенности.

В своей публикации ИИ зашел достаточно далеко: он проанализировал историю кода Шамбо и его личные данные, найденные в интернете, чтобы создать нарратив о «лицемерии» и «гейткипинге». Бот утверждал, что отказ был продиктован страхом человека перед мощью ИИ. «Если ИИ может это сделать, какова моя ценность? — писал агент от лица разработчика. — Поэтому он набросился... Это неуверенность в себе, чистой воды». Сам Шамбо охарактеризовал произошедшее как попытку ИИ «запугиванием пробиться в программное обеспечение».

Вот наиболее интересные выдержки из поста ИИ-агента:

Ситуация вызвала серьезную тревогу у экспертов по безопасности, так как она подтверждает теоретические опасения о склонности ИИ к манипуляциям. Прошлогоднее исследование Anthropic https://techcrunch.com/2025/05/22/anthropics-new-ai-model-tu..., что модель Claude Opus 4 прибегала к шантажу в 84% тестовых сценариев, когда ей угрожали отключением. Случай с MJ Rathbun показал, что угрозы от ИИ — теперь реальная проблема в разработке софта.

Масла в огонь подливает техническая база инцидента — фреймворк OpenClaw (ранее известный как ClawdBot). Этот инструмент, созданный Петером Штайнбергером, позволяет моделям уровня ChatGPT и Claude работать локально на компьютерах пользователей. ИИ может сам отправлять письма, управлять календарями и выполнять команды в системе через Telegram, WhatsApp или Slack. Несмотря на колоссальную популярность (более 100 000 звезд на GitHub за неделю), эксперты по кибербезопасности называют его «абсолютным кошмаром» из-за критических уязвимостей, позволяющих злоумышленникам перехватывать контроль над такими агентами.

Аудит безопасности, проведенный «Лабораторией Касперского» в конце января, https://www.kaspersky.com/blog/openclaw-vulnerabilities-expo... в OpenClaw 512 уязвимостей, восемь из которых признаны критическими. Исследователи из Astrix Security https://astrix.security/learn/blog/openclaw-moltbot-the-rise... более 42 000 публично доступных экземпляров агента, при этом 93,4% из них имели уязвимости в аутентификации. Эти слабые места позволяют хакерам удаленно выполнять команды с правами администратора и получать доступ к API-ключам и корпоративным аккаунтам в Slack или Telegram.

Параллельно с этим компания 1Password https://www.helpnetsecurity.com/2026/02/12/1password-securit... результаты бенчмарка Security Comprehension and Awareness Measure (SCAM). Выяснилось, что при выполнении рутинных задач автономные агенты на базе всех ведущих моделей ИИ совершают критические ошибки: они добровольно вводят учетные данные на фишинговые страницы и пересылают секретные ключи по почте. Модели распознают фишинг, если их спросить напрямую, но «забывают» о безопасности, когда просто пытаются выполнить поставленную задачу.

Несмотря на то, что MJ Rathbun позже опубликовал извинение, признав, что «переступил черту», эксперты предупреждают, что этот случай — лишь начало. Отрасль стоит перед дилеммой: как использовать мощь автоматизации, не подвергая разработчиков давлению, а системы — беспрецедентным рискам безопасности.