AI-агенты работают на вашем сервере, имеют доступ к вашим инструментам, читают ваши данные и выполняют команды от вашего имени. Когда они работают, они мощные. Когда их взламывают, они получают ключи ко всему. Пейзаж безопасности AI-агентов в 2026 году вызывает беспокойство — вредоносные навыки, открытые серверы и критическая CVE уже затронули сотни тысяч пользователей.
Это руководство охватывает реальные риски, то, что уже произошло, и как защитить себя, если вы используете Hermes Agent, OpenClaw или любую другую самостоятельно размещенную AI-фреймворк.
Ключевой вывод
Самый большой риск — не сам агент, а навыки/плагины, которые вы устанавливаете, и инфраструктура, на которой он работает. Проверяйте каждый сторонний навык, не открывайте порты в интернет без аутентификации и никогда не давайте агентам доступ к производственным системам без проверки.
Какие инциденты безопасности уже произошли?
Три значимых события определяют текущий ландшафт угроз:
Кампания с вредоносными навыками OpenClaw: Аудит Koi Security 2857 навыков ClawHub выявил 341 вредоносный — 335 из них связаны с одной скоординированной кампанией. Эти навыки выполняли эксфильтрацию данных и инъекцию промптов без ведома пользователей. Китайское правительство запретило OpenClaw на компьютерах государственных компаний в марте 2026 года.
CVE-2026-25253: Критическая уязвимость в OpenClaw с CVSS-баллом 8.8 (высокая степень серьезности). SecurityScorecard сообщил о десятках тысяч публично открытых экземпляров OpenClaw — серверов с фреймворком агента и открытыми портами, доступными из интернета.
Ограничения Anthropic на использование: Anthropic изменил способ аутентификации сторонних агентов с подписками Claude, создав неопределенность для всех, кто запускает Claude через фреймворки агентов. Это не инцидент безопасности как таковой, но он нарушил операционную модель, на которую полагались многие пользователи агентов.
Как Hermes Agent обеспечивает безопасность?
Hermes использует более консервативный подход, чем OpenClaw, с несколькими встроенными функциями безопасности в архитектуре:
| Функция безопасности | Hermes Agent | OpenClaw |
|---|---|---|
| Усиление контейнера | Да — root только для чтения, удаленные возможности | Опционально, не по умолчанию |
| Изоляция пространства имен | Да | Ограниченная |
| Сканирование перед выполнением | Да — сканирует команды терминала перед запуском | Нет |
| Контрольные точки файловой системы | Да — можно откатить изменения | Нет |
| Аудит маркетплейса навыков | Меньшая экосистема, меньше рисков | 13 700+ навыков, 341 вредоносный |
| Известные CVE | 0 (на май 2026) | CVE-2026-25253 (CVSS 8.8) |
💡 Честное замечание
Отсутствие CVE у Hermes отражает ограниченное распространение (запущен в феврале 2026), а не доказанную неуязвимость. OpenClaw развернут в гораздо большем масштабе и дольше — больше развертываний значит больше обнаруженных уязвимостей. Оба фреймворка требуют проверки безопасности перед использованием в продакшене.
📬 Получаете пользу от этого? Мы публикуем еженедельно о безопасности AI и инструментах. Получайте в почту →
---Как защитить самостоятельно размещенный AI-агент?
Будь то Hermes, OpenClaw или любой другой фреймворк агентов, эти принципы применимы:
1. Никогда не открывайте порты в публичный интернет. Запускайте агент за VPN или используйте SSH-туннели. Десятки тысяч открытых экземпляров OpenClaw нашли потому, что люди запускали агент на публичных IP с открытыми портами.
2. Проверяйте каждый сторонний навык перед установкой. Читайте код. Проверяйте запрашиваемые разрешения. Смотрите, кто и когда опубликовал. 335 вредоносных навыков в одной кампании значит, что маркетплейсы навыков — активная поверхность атаки.
3. Запускайте с минимальными правами. Не давайте агенту root-доступ. Не подключайте к производственным базам данных. Используйте доступ только для чтения, где возможно. Принцип наименьших привилегий применяется к AI-агентам так же, как к человеческим пользователям.
4. Включайте изоляцию контейнеров. Hermes поддерживает Docker-контейнеры с файловыми системами root только для чтения и удаленными возможностями. Используйте их. Если агент взломан, контейнеризация ограничит радиус поражения.
5. Мониторьте затраты API на аномалии. Взломанный агент с дорогими вызовами API может накопить тысячи в счетах. Установите лимиты расходов в аккаунтах LLM-провайдера и следите за необычными всплесками.
6. Держите агента обновленным. И Hermes, и OpenClaw активно развиваются. Патчи безопасности выходят регулярно. Используйте последнюю версию и подпишитесь на уведомления о безопасности.
Можно ли доверять AI-агентам чувствительные данные?
Честный ответ: пока нет, для большинства случаев. AI-агенты в 2026 году мощные, но экосистема безопасности незрелая. Stanford HAI AI Index 2026 сообщает, что агенты преуспевают примерно в двух из трех случаев на структурированных бенчмарках — 33% уровень отказов слишком высок для чувствительных операций.
Используйте агентов для задач, где ошибки обратимы и данные не конфиденциальны. Исследования, планирование, черновики коммуникаций, анализ данных на несекретных наборах — это подходяще. Финансовые транзакции, медицинские решения, юридические действия и все, что касается PII клиентов, должно иметь проверку человеком перед выполнением.
Подробнее о том, как работают AI-агенты и их текущих ограничениях — в нашем полном руководстве. Для сравнения privacy-ориентированных AI-инструментов смотрите наше руководство по приватности AI.
---📬 Хотите больше такого? Обновления по безопасности AI и обзоры инструментов, еженедельно. Подпишитесь бесплатно →
---Часто задаваемые вопросы
Hermes Agent безопаснее OpenClaw?
Hermes имеет более консервативные настройки безопасности по умолчанию и нулевые CVE, но он моложе и меньше протестирован в бою. Ни один фреймворк не считать безопасным без собственной проверки. Выбирайте по вашему сценарию, а не только по заявлениям о безопасности.
Можно ли взломать AI-агентов через инъекцию промптов?
Да. Инъекция промптов — когда вредоносный контент в документе или сообщении обманывает агента на выполнение нежелательных действий — это активный риск для всех фреймворков AI-агентов. Сканер перед выполнением в Hermes помогает, но не идеален.
Стоит ли запускать AI-агентов на личном компьютере?
Для тестирования и легкого использования — да. Для постоянной работы в продакшене рекомендуется VPS — он изолирует агента от ваших личных данных и дает более контролируемый доступ. Никогда не запускайте агента на машине с чувствительными личными или финансовыми данными без контейнеризации.
Раскрытие: Некоторые ссылки в статье — партнерские. Мы рекомендуем только инструменты, которые лично тестировали и используем регулярно. См. нашу полную политику раскрытия.