Рост OpenClaw в 2026 году сделал экосистему привлекательной для атак на supply chain: расширения, MCP-серверы, шаблоны и скопированные shell-команды. Правильная реакция — не паника, а уменьшение радиуса поражения.
Этот чеклист для пользователей OpenClaw, которым нужны конкретные меры. Office Claws не является нативным runtime для OpenClaw; это desktop-менеджер, ориентированный на Codex, для запуска coding-agent’ов на изолированных VPS. Поэтому ниже — честная модель защиты и миграции, а не обещание несуществующей интеграции.
Типовой сценарий атаки
Трояну обычно не нужен zero-day. Он попадает внутрь через доверенное расширение или скрипт, запускается с доступом к файлам и сети, читает .env, историю shell или токены, а затем использует инструменты агента для закрепления, эксфильтрации или траты API-кредитов.
Поэтому защита OpenClaw — это прежде всего архитектура.
Чеклист
| Контроль | Минимум | Лучше |
|---|---|---|
| Изоляция | Один проект на workspace | Одноразовый VPS для рискованного запуска |
| Секреты | Без долгих ключей в .env | Keychain или короткоживущие токены |
| Расширения | Зафиксированные версии | Проверка diff и узкие права |
| Сеть | Логи egress | Allowlist доменов под задачу |
| Расходы | Лимиты провайдера | Дневной бюджет на агента |
| Восстановление | Чистая ветка | Rebuild из snapshot |
1. Запускайте агента там, что можно удалить
Троян менее опасен на хосте без cookie браузера, личных SSH-ключей и чужих репозиториев. Для серьезной работы используйте контейнер или небольшой VPS. Если runner ведет себя странно — удалить, ротировать токен, поднять заново из snapshot.
2. Держите ключи вне runner’а
Худший дефолт — мощный API-ключ в проектном .env. Перенесите его в системный keychain или локальный broker коротких токенов. Для Codex-миграции Office Claws for OpenClaw users помогает держать четкую границу между desktop и runner.
3. Относитесь к расширениям как к production-зависимостям
Фиксируйте версии, выключайте auto-update и читайте diff перед обновлением. Блокируйте расширения с широким доступом к файлам, неожиданными доменами или install-скриптами, скачивающими бинарники.
4. Сделайте egress видимым
Многие трояны рано или поздно звонят наружу. Начните с DNS или firewall logs. Лучше — allowlist: Git-хостинг, package registry, модельные провайдеры и ваш control plane.
5. Лимиты расходов обязательны
Украденный ключ без лимита — пустой чек. Поставьте дневные лимиты у провайдера и мониторинг токенов по runner’ам. Наш OpenClaw cost comparison объясняет, почему Codex subscription часто проще бюджетировать, но видимость все равно нужна.
6. Храните audit trail вне агента
Скомпрометированный процесс не должен быть единственным источником правды. Prompts, tool calls, shell-команды и diffs нужно сохранять вне runner’а.
Когда переходить на Codex на VPS
Для широких экспериментов держите OpenClaw в маленьком sandbox. Для repo-centered coding, долгих тестов и параллельных веток Codex на изолированном VPS часто чище. Смотрите OpenClaw vs Codex comparison. Office Claws дает provisioning, monitoring и multi-agent visibility без заявления о нативном OpenClaw runtime.
План на 15 минут
- Убрать provider keys из
.env. - Поставить дневной лимит у провайдера.
- Зафиксировать расширения и выключить auto-update.
- Использовать свежую ветку и узкий workspace.
- Длинные задачи запускать на disposable host.
- Сохранять logs и diffs вне runner.
Mitigation — не магический scanner. Это скучные границы: нет постоянных секретов на runner, нет безлимитных расходов, нет невидимой сети и нет хоста, который страшно удалить.