OpenClaw: персональний AI-агент у ваших чатах — і чому безпека тут це половина продукту

OpenClaw — open-source платформа персонального AI-агента, яку ви запускаєте на своїй машині й використовуєте з WhatsApp/Telegram/Slack/Discord. Розбираємо, як працює Gateway (control plane), канали та Skills/ClawHub, показуємо реальні кейси (Inbox Zero, реліз-координатор, контент-скаут), та порівнюємо з аналогами (LangGraph, AutoGen, CrewAI, OpenHands, n8n, Dify, Flowise, AutoGPT, Open Interpreter) — з джерелами й практичним hardening-чеклістом.

22 лют. 2026 р.· 10 хв читання· Технології

Поговорити з PAS7 Studio про агентів і hardening

OpenClaw: обкладинка поста про партнерство з VirusTotal для сканування Skills у ClawHub

Поділитися

Що ви заберете з цієї статті

Не «огляд на хайпі», а робоча схема: що таке OpenClaw, де він сильний, де небезпечний, і як порівнювати з іншими агентними інструментами.

• Що таке OpenClaw і чому він «local-first»: ваш асистент, ваша машина, ваші ключі. [1][2]
• Як влаштований OpenClaw: канали → Gateway (control plane) → сесії/інструменти/агенти. [2]
• Skills і ClawHub: чому «розширення» в агентів — це фактично supply chain з правами вашого агента. [2][7][8]
• 3 практичні кейси «під ключ»: Inbox Zero, реліз-координатор, контент-скаут для блогу/маркетингу. [2][1]
• Hardening-чекліст: sandbox, DM pairing, allowlist, ізоляція середовища та дисципліна з креденшалами. [2][8][9]
• Порівняння з аналогами: LangGraph/AutoGen/CrewAI (фреймворки), OpenHands/SWE-agent (кодинг-агенти), n8n/Dify/Flowise (оркестрація), AutoGPT (continuous агенти), Open Interpreter (комп’ютер-контроль). [11][12][13][14][18][16][17][19][15]
• Нюанс імені: «OpenClaw» також існує як open-source реімплементація гри Captain Claw (1997) — це інший проєкт. [20]

OpenClaw: що це таке по суті

OpenClaw — це open-source платформа персонального AI-агента, яку ви запускаєте на своїх пристроях (laptop/homelab/VPS) і підключаєте до каналів, де ви вже живете: WhatsApp/Telegram/Slack/Discord та ін. Ключовий меседж: «Your assistant. Your machine. Your rules». [1]

На практиці це означає дві речі:

1) агент ближче до ваших даних і інструментів (файли, пошта, календар, задачі),

2) відповідальність за безпеку теж ближче до вас (ізоляція, токени, правила доступу, контроль skills). [2][8]

В README OpenClaw прямо формулює архітектурну рамку: «Gateway — це control plane, продукт — асистент». Це хороший mental model: ви не «ставите бота», ви запускаєте runtime з інтерфейсами (канали) та розширеннями (skills). [2]

Як це працює: канали → Gateway (control plane) → агенти/сесії/інструменти

OpenClaw намагається зробити «агента в чаті» таким же системним продуктом, як CI або gateway-сервіс: є контрольна площина, є сесії, є політики, є інструменти.

Корисний спосіб пояснити це команді — як схему (адаптовано з README): [2]

TEXT

WhatsApp / Telegram / Slack / Discord / …
           │
           ▼
┌───────────────────────────────┐
│            Gateway            │
│         (control plane)       │
│     ws://127.0.0.1:18789      │
└──────────────┬────────────────┘
               │
               ├─ CLI (openclaw …)
               ├─ Web UI
               └─ Agent runtime (tools / sessions)

Сигнал архітектури: якщо вам потрібен «персональний агент в чаті», OpenClaw — це продукт-клас. Якщо вам потрібно «збирати власні агентні воркфлоу як графи», дивіться фреймворки (LangGraph/AutoGen/CrewAI) — це інша категорія. [11][12][13]

Gateway

Єдина контрольна площина для сесій, каналів, подій, інструментів і UI/CLI доступу. [2]

чат-поверхні

Підключаєте месенджери/чат-апи — і агент відповідає там, де вам зручно. [1][2]

розширення

Skills розширюють можливості агента, але успадковують його права. Це новий supply chain-ризик. [7][8]

Скрін UI Gateway Control Panel: точка входу в налаштування каналів/інтеграцій та взаємодію з агентом. Source: Bitsight. [10]

Швидкий старт: як виглядає «доросла» установка

Рекомендований шлях у README — onboarding wizard. Мінімальна схема така: встановили CLI → пройшли openclaw onboard → підняли gateway → відправили тестове повідомлення або напряму поговорили з агентом. [2]

BASH

npm install -g openclaw@latest

openclaw onboard --install-daemon

openclaw gateway --port 18789 --verbose

openclaw message send --to +1234567890 --message "Hello from OpenClaw"

openclaw agent --message "Ship checklist" --thinking high

Далі реальність починається з політик доступу (DM pairing, sandbox для груп), і з дисципліни по секретам/токенам. OpenClaw навіть радить запускати openclaw doctor, щоб підсвітити ризикові конфіги. [2]

3 вирішені кейси: як ми б це робили у PAS7 Studio

Нижче — три шаблони, які дають користь вже на першому тижні. Вони не вимагають «AGI», але вимагають правильних обмежень і рутини.

Кейс 1 — Inbox Zero без «самовільної відправки»

Ціль: агент допомагає читати/класифікувати/чернетки — але фінальне «Send» завжди підтверджує людина.

• Правило №1: агент ніколи не відправляє лист без явного підтвердження (human-in-the-loop).
• Правило №2: все вхідне — untrusted input (пошта = ідеальний носій prompt injection). [8][9]
• Потік: triage → короткі резюме → 2–3 варіанти відповіді → питання по контексту → approve.
• Артефакт: щоденний «Inbox digest» у Telegram/Slack + папка/лейбл для автосорту.
• Окремі креденшали: агенту даємо OAuth/токени з мінімальними правами й окремий тестовий інбокс для пілоту. [8]
• Порада: якщо ви в компанії — Microsoft прямо рекомендує ізолювати запуск (VM/окремий девайс) і вважати це «untrusted code execution з persistent credentials». [8]

Кейс 2 — Реліз-координатор у чаті: чеклісти, бриф, пост-релізний звіт

Ціль: зменшити кількість «людських промахів» у релізі. Агент — як оператор: збирає контекст, нагадує кроки, готує summary, але критичні дії — тільки через approval.

• Вхід: команда пише в реліз-чат «Ship checklist» (у README навіть є цей приклад), агент генерує чекліст під ваш стек. [2]
• Підтягує артефакти: посилання на changelog, міграції, фіче-флаги, план відкату.
• Гейти: будь-які команди, які можуть змінити інфру/прод — тільки після підтвердження (approve).
• Вихід: пост-релізний «операційний звіт» у форматі: що поїхало, що відкотили, які action items.
• Hardening: для груп/каналів — sandbox режим «non-main sessions in Docker», як рекомендує README. [2]

Кейс 3 — Контент-скаут: збирає джерела → робить чернетку → готує PR

Ціль: знайти технічну новину/тренд → підтягнути джерела → зробити структуру поста у вашому форматі → підготувати коміт/PR для ревʼю.

• Чітка політика: агент не «вигадує факти», а працює через джерела і додає citations до кожної ключової заяви.
• Потік: (1) збір лінків, (2) extraction тез, (3) outline, (4) чернетка, (5) список зображень з першоджерелами, (6) PR.
• Безпека: будь-які «skills», які тягнуть контент із зовнішніх джерел, — це вектор непрямої prompt injection (контент може містити інструкції). Microsoft і Snyk окремо підкреслюють цей клас ризику. [7][8]
• Практичний прийом: окремий agent/workspace тільки для контент-задач, без доступу до секретів прод-інфри.

Безпека OpenClaw: реальність (і мінімальна безпечна поза)

Агенти поєднують untrusted input + виконання дій + довгоживучі токени. Це змінює security boundary: якщо агент може читати зовнішній контент і ставити розширення, ви маєте планувати containment і відновлення, а не лише «профілактику». [8]

Що з цим робити (мінімум):

- Ізоляція: Microsoft прямо рекомендує оцінювати OpenClaw лише в ізольованому середовищі (VM/окремий девайс), з окремими не-привілейованими обліковками і без доступу до чутливих даних. [8]

- DM-політики: у README описано DM pairing — невідомі відправники отримують pairing-код і не можуть одразу інʼєктити команди агенту. Це must-have. [2]

- Sandbox для груп: agents.defaults.sandbox.mode: "non-main" запускає не-main сесії в Docker sandbox. Це зменшує blast radius для груп/каналів. [2]

- Skills: treat as privileged code. Підхід «install by default» тут токсичний. Snyk показує, що значна частина skills має критичні проблеми/шкідливі патерни — і це вже реальна supply chain історія. [7]

- Defense in depth: навіть інтеграція сканування (наприклад, VirusTotal для ClawHub) — це шар, але не «срібна куля». OpenClaw прямо це підкреслює. [3]

Мікро-шаблон конфіг-наміру (приклад, логіка): [2]

YAML

agents:
  defaults:
    sandbox:
      mode: "non-main"

# для каналів тримайте DM pairing, поки ви не впевнені у моделі доступу
# і використовуйте allowlist користувачів/чатів

Tokens leak

Креденшали/дані можуть бути ексфільтровані: агент діє з правами, які ви йому дали. [8][7]

Memory poisoning

Постійний стан/«памʼять» агента може бути змінена так, щоб він довго виконував навʼязані правила. [8]

Host compromise

Якщо агент індукований завантажити/виконати код (через skill або інструкцію), компрометація може статися на рівні хоста. [8][9]

«The Poisoned Skill»: типовий ланцюжок компрометації через публічний registry skills. Source: Microsoft Security Blog. [8]

Гіпер-зростання екосистеми skills означає гіпер-зростання supply chain-ризику. Source: Snyk ToxicSkills. [7]

Про «сканування навичок: чому це важливо, але не достатньо

OpenClaw оголосив партнерство з VirusTotal для сканування skills у ClawHub: deterministic packaging → hash → VT lookup/upload → Code Insight → позначки/блокування → daily re-scans. Це правильний напрямок як один із шарів defense-in-depth. [3]

Але той самий пост чесно каже: це не срібна куля. Підпис «clean» не гарантує безпечність, а prompt-інʼєкції можуть проходити повз сигнатури. Тому ключ — не «один сканер», а поєднання: політики доступу, ізоляція, мінімальні права, ревʼю skills, моніторинг і готовність до rebuild. [3][8]

Аналоги OpenClaw: їх справді багато — але це різні категорії

Щоб порівняння було чесним, спочатку класифікуємо «аналогів» за тим, що саме ви будуєте:

1) Персональний self-hosted агент у чатах (категорія OpenClaw)

- OpenClaw — продукт-клас: канали + gateway + runtime + skills. [1][2]

2) Фреймворки для збирання агентів (коли ви будуєте свій runtime/оркестрацію)

- LangGraph — низькорівнева оркестрація stateful/long-running агентів. [11]

- AutoGen — multi-agent фреймворк для кооперації агентів. [12]

- CrewAI — легкий multi-agent фреймворк з оркестрацією «crew/roles». [13]

3) Агент-розробник (коли ціль — код/репозиторії/PR)

- OpenHands — платформа для cloud coding agents. [14]

4) Оркестрація/автоматизація з агентами (no-code/low-code)

- n8n AI Agent node — агент як вузол у воркфлоу, з підключенням tools. [18]

- Dify — платформа для agentic workflows + RAG + observability. [16]

- Flowise — візуальний конструктор ланцюжків/агентів. [17]

5) «Комп’ютер-контроль» / локальне виконання коду

- Open Interpreter — дає LLM можливість запускати код локально (shell/python/js) і керувати задачами через CLI/інтерфейс. [15]

6) Continuous агенти / платформи

- AutoGPT — платформа для створення й запуску continuous агентів. [19]

Швидка матриця вибору (дуже грубо, але практично):

TEXT

Якщо вам потрібен «агент у Telegram/WhatsApp як персональний асистент» → OpenClaw.
Якщо вам потрібна «оркестрація графом, checkpointing, HITL» → LangGraph.
Якщо вам потрібні «кілька агентів з ролями, переговори, кооперація» → AutoGen/CrewAI.
Якщо вам потрібен «агент, який робить PR і ганяє тести» → OpenHands.
Якщо вам потрібні «воркфлоу з інтеграціями без багато коду» → n8n/Dify/Flowise.
Якщо вам потрібен «локальний виконуючий інтерпретатор/комп’ютер-контроль» → Open Interpreter.

Уточнення: «OpenClaw» — це ще й реімплементація гри Captain Claw (1997)

В пошуку ви можете натрапити на OpenClaw як open-source реімплементацію платформера Captain Claw (1997). Це інший проєкт (C++ game reimplementation) і не має відношення до AI-агента. Просто майте на увазі цю колізію імен. [20]

Часті запитання

OpenClaw — це чатбот чи “агентна платформа”?

Ближче до платформи: канали (месенджери), Gateway як control plane, сесії/інструменти і skills як розширення. Сам README підкреслює: Gateway — лише control plane, продукт — асистент. [2]

Чи можна безпечно запускати OpenClaw на робочому ноуті з прод-доступами?

Microsoft Security Blog радить навпаки: ставитися до цього як до untrusted code execution з persistent credentials і тестувати тільки в ізоляції (VM/окремий девайс), з окремими не-привілейованими обліковками і без чутливих даних. [8]

Чи рятує VirusTotal-сканування skills у ClawHub?

Це корисний шар defense-in-depth, але не гарантія: навіть офіційний пост підкреслює, що сканування не ловить все, а prompt injection може проходити повз сигнатури. [3]

Як мінімізувати ризик від skills?

Ставитися до skills як до привілейованого коду: allowlist, ревʼю, мінімальні права, ізоляція, і окремі агенти/workspaces без доступу до критичних секретів. Snyk показує, що екосистема вже під активними атаками і має значну частку критичних проблем. [7][8]

З чим порівнювати OpenClaw, якщо мені потрібен агент для розробки?

Дивіться OpenHands/SWE-agent клас — це про кодинг-агентів. OpenClaw — радше «персональний агент у чатах» з інтеграціями. Це різні категорії. [14]

Джерела

Ми додаємо лише джерела, які прямо підтримують твердження, приклади та цифри в цьому пості. Картинки у статті — реальні, взяті з першоджерел у списку нижче (збережені локально як .webp для швидкості).

Хочете запустити агента без «зайвого ризику»?

OpenClaw дає дуже привабливий UX: агент там, де ваші комунікації, і він може «робити дії». Але production-цінність зʼявляється лише тоді, коли ви проектуєте безпеку як частину продукту: ізоляція, мінімальні права, правила доступу, контроль skills, моніторинг і план відновлення.

PAS7 Studio може допомогти: швидкий аудит ризиків, базовий hardening-профіль, та 2–3 готові воркфлоу під ваш стек (інбокс/реліз/контент) з human-approval і контрольованим blast radius.

Хочете запустити агента Офіційний репозиторій OpenClaw