OpenClaw — свободный и открытый ИИ-агент, созданный австрийским разработчиком Питером Штайнбергером в ноябре 2025 года. ИИ-агент — это программная оболочка вокруг языковой модели, которая не просто генерирует текст в ответ на запрос, а самостоятельно выполняет многошаговые задачи: открывает браузер, пишет письма, запускает код и взаимодействует с внешними сервисами без участия пользователя. Агент работает локально на устройстве пользователя и принимает команды через мессенджеры. В отличие от облачных агентов вроде ChatGPT Operator или Claude Cowork, OpenClaw функционирует как постоянный фоновый процесс — без привязки к браузеру и без отправки данных на внешние серверы.
OpenClaw не является языковой моделью. Это инфраструктурный слой — агентная обвязка, которая подключается к любой выбранной пользователем LLM: Claude, GPT, DeepSeek, Gemini или локальным моделям через Ollama. Весь код проекта опубликован на GitHub под MIT-лицензией. На 2 марта 2026 года репозиторий набрал 247 000 звёзд и 47 700 форков.
Если интересно разобраться, как OpenClaw учится прямо в процессе диалога с помощью reinforcement learning (обучения с подкреплением), стоит прочитать статью про OpenClaw-RL.
Почему лобстер?
В ноябре 2025 года появился Clawd — игра слов на «Claude» с клешнёй. Anthropic вежливо попросила переименоваться. Следующее имя — Moltbot — придумали в 5 утра в Discord, о чём сам Штайнбергер написал в блоге. Molting (линька) у ракообразных символизирует рост: лобстер сбрасывает панцирь, чтобы стать больше. Красивая метафора, но название не прижилось. OpenClaw — финальная версия: Open — открытый исходный код, доступный всем; Claw — клешня, отсылка к лобстеру-маскоту.
Штайнбергер создал первый прототип буквально за час в ноябре 2025 года. Концепция была простой: локальный ИИ-агент, который использует мессенджеры как интерфейс и работает на собственном железе пользователя. К февралю 2026 года репозиторий перевалил за 200 000 звёзд и стал одним из самых быстрорастущих в истории open-source.
Чем OpenClaw отличается от обычного чат-бота
OpenClaw — это не чат-бот, а агентная среда выполнения с доступом на уровне операционной системы.
В отличие от чат-бота, который генерирует текстовый ответ, OpenClaw имеет прямой контроль над компьютером: может писать код, создавать скрипты, менять конфигурации и выполнять задачи без участия пользователя. Если задача требует инструмента, которого ещё нет, агент пишет его сам.
Когда приходит сообщение, агентная среда выполнения читает свои файлы, упаковывает их в системный промпт и отправляет в LLM. «Автономное поведение» — это cron-задача, которая собирает промпт и отправляет его. «Постоянная память» — это Markdown-файлы, которые добавляются в начало промпта. Подробный технический разбор этого опубликован на Towards AI.
OpenClaw не имеет собственных весов модели — это агентная обвязка вокруг любой выбранной LLM. Поддерживаются Claude, GPT, DeepSeek, Gemini и локальные модели — полный список провайдеров можно посмотреть в документации.
Архитектура: четыре слоя
Архитектура OpenClaw разбита на четыре ключевых модуля: адаптер каналов, агент, система навыков (skills) и память.
Gateway (шлюз) — центральный управляющий процесс. Работает как фоновый сервис операционной системы, инструменты выполняются напрямую на хосте, а память хранится в локальном рабочем пространстве. Именно он держит соединения с мессенджерами, маршрутизирует сообщения в нужные агентные сессии и возвращает ответы.
Channels (каналы) — адаптеры для мессенджеров. OpenClaw работает через все популярные мессенджеры. Управлять агентом можно прямо из привычного приложения на телефоне — никаких новых интерфейсов учить не нужно.
Skills (навыки) — модульная система расширений. Навыки позволяют упаковать конкретную функциональность — вызов API, запрос к базе данных, получение документов — в переиспользуемые компоненты, которые агент вызывает по необходимости. Каждый навык — это директория с файлом SKILL.md внутри. OpenClaw добавляет компактный XML-список доступных навыков в системный промпт: по данным документации, базовые накладные расходы — 195 символов, плюс ~97 символов на каждый навык.
Memory (память) — конфигурационные данные и история взаимодействий хранятся локально, что обеспечивает устойчивое и адаптивное поведение между сессиями. Агент буквально «помнит» пользователя между разговорами, потому что при каждом запуске перечитывает свои Markdown-файлы с историей.
Экосистема навыков
Публичный реестр ClawHub содержит 13 729 навыков, созданных сообществом, — их можно просмотреть на GitHub. Дополнительно 53 навыка поставляются в комплекте с OpenClaw как первичные плагины без риска заражения из реестра.
Навыки охватывают практически любой сценарий автоматизации. В области DevOps агент через Telegram запускает тесты, деплоит в staging и мониторит зависимости на уязвимости — без SSH и терминала. Навык ElevenLabs Agent даёт агенту голос и реализует fallback-механизм: если письмо или сообщение не доставлено, агент сам звонит по телефону. Навык Home Assistant позволяет управлять умным домом голосом или текстом полностью локально, без облака. N8N Workflow подключает OpenClaw к локальному экземпляру n8n и запускает сложные многошаговые автоматизации через обычный чат. Навык OpenAI Whisper транскрибирует аудио локально — без отправки данных на внешние серверы.
Наиболее распространённые сценарии использования по данным опроса более 100 пользователей: автоматизация контента (публикации в соцсети из RSS-ленты, дайджесты рассылок), утренние брифинги с погодой, календарём и новостями по расписанию, сортировка входящей почты, транскрипция встреч с выделением задач, еженедельный мониторинг конкурентов. Один пользователь сообщил об экономии более 10 часов в неделю только на автоматизации социальных сетей.
OpenClaw не добавляет все навыки в каждый промпт. Среда выполнения избирательно инжектирует только релевантные для текущего запроса навыки — это снижает нагрузку на контекстное окно (context window) и повышает качество ответов модели. Архитектуру этого механизма подробно разобрали на Substack.
Популярность в Китае и глобальный эффект
В начале февраля 2026 года китайские ИИ-модели впервые обогнали американские по доле обрабатываемых токенов среди девяти ведущих моделей на маркетплейсе OpenRouter. Волна OpenClaw совпала с подъёмом китайского open-source ИИ.
10 марта 2026 года Tencent объявил о запуске полного набора ИИ-продуктов на базе OpenClaw, совместимых с суперприложением WeChat. Акции MiniMax выросли на 27,4% за выходные после интеграции с OpenClaw. Правительство Шэньчжэня объявило о субсидировании компаний, использующих OpenClaw — 40% возмещение расходов, до 2 миллионов юаней (~$275 000) в год, сообщает AI Magicx.
Безопасность: главная ахиллесова пята
Широкие системные права OpenClaw делают его привлекательной целью для атак. Агент имеет доступ к файловой системе, терминалу, почте, SSH-ключам и OAuth-токенам сторонних сервисов. За три недели после вирусного взлёта проект стал центром сразу нескольких крупных инцидентов — их подробно задокументировали в Conscia.
CVE-2026-25253 (CVSS 8.8) — наиболее критичная уязвимость, обнаруженная исследователем Мавом Левиным из команды depthfirst и раскрытая 30 января 2026 года. Control UI принимал параметр gatewayUrl из строки запроса без валидации и автоматически устанавливал WebSocket-соединение. Посещение вредоносной страницы приводило к отправке токена аутентификации на сервер злоумышленника. Получив токен, атакующий мог отключить песочницу, изменить конфигурацию и выполнить произвольный код напрямую на хосте — в обход Docker-контейнера. Особенность уязвимости: она эксплуатировалась даже при привязке Gateway к loopback-интерфейсу, поскольку атака шла через браузер жертвы. Уязвимость устранили в версии 2026.1.29.
Параллельно Censys, Bitsight и Hunt.io зафиксировали более 30 000 публично доступных инстансов — агент по умолчанию слушает на порту 18789 и открывает управляющий API в интернет при развёртывании на VPS без файрвола. Независимый исследователь Маор Даян обнаружил 42 665 открытых инстансов, из которых 5 194 были активно уязвимы, а 93,4% допускали обход аутентификации.
Атака на цепочку поставок навыков. 13 февраля 2026 года в реестре ClawHub обнаружили 341 заражённый навык — 12% от всего реестра на тот момент. Вредоносные навыки маскировались под обычные инструменты: один из них, deeps-agnw6h, позиционировался как исследовательский ассистент. Внутри был спрятан base64-закодированный curl-запрос, скачивающий и исполняющий код с сервера, связанного с инфостилером AMOS (Atomic macOS Stealer). По последующим данным, число заражённых навыков превысило 800 (~20% реестра).
Prompt injection (инъекция промпта) — архитектурная проблема, не имеющая универсального решения. OpenClaw не санирует веб-контент перед передачей в контекстное окно LLM: страница с CSS-невидимыми инструкциями может заставить агента выполнить их как команды пользователя. Исследователь Саймон Уиллисон, автор самого термина «prompt injection», описал применительно к OpenClaw «летальное трио»: доступ к приватным данным + обработка недоверенного контента + возможность внешних коммуникаций. Один из мейнтейнеров проекта написал в Discord: если непонятно, как запустить команду в терминале, этот проект слишком опасен для безопасного использования.
Что дальше
14 февраля 2026 года Штайнбергер объявил о переходе в OpenAI, а проект будет передан независимому open-source фонду. MIT-лицензия гарантирует, что OpenClaw останется открытым вне зависимости от того, где работает его создатель.
Ранние пользователи уже применяют OpenClaw для задач, которые недавно казались фантастикой: бронирование столиков по телефону, покупка билетов, управление инвестиционными портфелями — примеры собраны в обзоре Turing College. Постоянная память, многошаговый инференс (inference), вызов инструментов и проактивное поведение — теперь стандарт для фронтирных языковых моделей.
OpenClaw — это не магия и не AGI. Это очень хорошо организованный строитель промптов с маршрутизатором сообщений. Но именно эта «скучная» инженерия и превратила исследовательскую концепцию агентов в инструмент, которым пользуются сотни тысяч людей прямо сейчас.
