Clawdbot: як «справжній Джарвіс» став кейсом про ребрендинг, скам і безпеку

Ще на початку тижня Clawdbot був улюбленцем інтернету: open-source «персональний суперпомічник», який все пам’ятає і проактивно і виконує безліч завдань. Він став одним з найшвидше зростаючих репозиторіїв в історії GitHub, між 24 і 27 січня набравши 54 тисячі зірок. На момент написання цього тексту репозиторій мав понад 110 тисяч. Користувачі називали його персональним AI, яким мала б бути Siri, купували Mac mini, збирали конфіги, писали туторіали й жартували, що «Джарвіс вже тут». 

Проте у наступні 72 години проєкт двічі змінив назву, у нього вкрали акаунти криптошахраї, а всеохопна любов змінилася на критику за безпековий кошмар. HBJ дослідив, як все відбувалося, як створювався проєкт, а також чим завершилася історія з ребрендингом. 

Що таке Clawdbot/Moltbot/OpenClaw

Clawdbot — це open-source проєкт Пітера Штайнберґера, який за лічені дні став тим самим інструментом, про який говорять усі. Схвальні згадки про інструмент публічно давали Андрій Карпати, Давід Сакс і Федеріко Вітіччі (MacStories).

Він працює прямо на комп’ютері, беручи на себе повсякденні цифрові задачі — від упорядкування файлів до взаємодії з сайтами, застосунками й інтерфейсами. Оскільки він працює локально, він може отримувати доступ і робити все, що може користувач. ClawdBot приймає інструкції через звичні інструменти на кшталт Slack, Teams або месенджерів — і продовжує працювати навіть коли ви не дивитеся.

Під капотом це виглядає так: на вашій машині постійно працює центральний процес-шлюз. Він приймає повідомлення з підключених каналів, веде сесії та підтягує контекст, а потім вирішує, чи достатньо відповісти текстом, чи треба запускати дію. Коли ви пишете в месенджері, повідомлення спочатку проходить через цей шлюз, далі агент бере локальну пам’ять і правила, формує план і передає виконання виконавцям на пристроях. Виконавці можуть працювати на тому ж комп’ютері або на під’єднаних вузлах; підключення робиться через спарювання, щоб зафіксувати довірені пристрої та канали, з яких агенту дозволено приймати команди. Але якщо під’єднати агента до групових чатів або дозволити повідомлення від необмежених відправників, межа довіри зникає і ризик різко зростає.

Стан зберігається локально. Налаштування, пам’ять, інструкції й історія лежать у файловій системі, часто як папки та Markdown-файли, тому агент не втрачає контекст між діалогами і не залежить від окремого вебінтерфейсу. Зовнішню модель він підключає переважно тоді, коли треба інтерпретувати запит або скласти план, а самі дії виконує локальними інструментами, до яких має доступ як користувач: файли, оболонка, браузер, інтеграції. Саме через це в документації наголошують на пріоритеті контролю доступів над будь-якою розумністю: якщо агент має права на систему і приймає інструкції через чати, то межі й перевірки важливіші за якість відповідей.

За зовнішніми ознаками проєкт виглядає як робота цілої команди, але це не так. У січні Пітер Штайнберґер зробив понад 6 600 комітів сам — і коментує в інтервʼю це максимально буденно. Його AI-native підхід для класичної інженерної культури звучить майже як єресь: «найглибша зміна цього року — я майже ніколи більше не читаю код». Це опис зміни ролі: він мислить як архітектор, який тримає структуру системи в голові, а генерацію й рутину віддає агентам — за умови, що вони можуть перевіряти себе. Саме так одна людина починає працювати як команда: паралелить роботу, більше часу витрачає на постановку задачі й план, і менше — на ручне переписування реалізації. 

Кейси, які зробили Clawdbot реальним Джарвісом

Clawdbot одразу перестали сприймати як «ще один чат із LLM», бо в нього з’явилися пам’ять, проактивність і здатність доводити дію до кінця. І саме тому інтерес так швидко перейшов від демо до спроб вбудувати агента в життя.

Операційний менеджер в чайному бізнесі 

Ідея: забрати з людей повторювану операційну рутину, яка зазвичай розмазана по месенджерах, таблицях і нотатках.

Агент бере на себе ланцюжок задач — планування, комунікацію з корпоративними клієнтами, контроль запасів і підтримку клієнтів. Критичний момент у тому, що контекст і правила зберігаються локально у файлах, тож агент може підхоплювати попередні рішення й працювати послідовно.

Розумний дім через агента

Ідея: прибрати ручне керування бойлером/опаленням, яке постійно залежить від погоди.

Агент бере дані про погоду за попередній період (останні 12 годин) і на основі цього змінює тривалість роботи бойлера, щоби він нагрів температуру належним чином. В результаті бойлер працює довше, коли холодніше, і менше, коли тепліше; людина перестає щодня підкручувати налаштування вручну.

Парсинг постів зі 100 акаунтів у X

Ідея: швидко отримати великий масив публічного контенту без ручного скриптингу й довгого циклу.

Агенту дали задачу зібрати контент зі 100 топакаунтів у X; він сам організував процес і сумарно зібрав близько 4 мільйонів твітів. Результатом став готовий зібраний датасет за 24 години після постановки задачі.

Локальна заміна Zapier для Todoist

Ідея: прибрати хмарну автоматизацію на підписці й перенести її на локальну машину.

У MacStories описано сценарій, як після виходу щотижневої розсилки автоматично створювати проєкт/задачу в Todoist. Агент запропонував технічну схему: завдання за розкладом перевіряє RSS, після появи нового випуску викликає API Todoist і створює потрібну сутність; далі агент не зупинився на описі, а реалізував і запустив процес локально. Результат: та сама автоматизація без окремого сервісу-посередника і без підписки.

«Хочеш RTX 4090 — зароби сам»

Ідея: перевірити, чи агент здатен діяти в заданих правилах не як виконавець однієї задачі, а як оператор з метою та обмеженнями.

Агенту дали торговий гаманець на $2 000 на Hyperliquid і завдання збільшити капітал в межах заданої рамки. За описом автора, Clawdbot/Moltbot працював як «постійний» агент і самостійно відкривав/закривав угоди 24/7. Для сигналів він сканував настрій у X, відстежував пости Трампа й на основі цього ухвалював рішення про трейди, тобто діяв не як «порадник», а як виконавець через інтеграцію з торговим акаунтом. Кейс став вірусним як приклад нового патерну взаємодії: агенту задають правила й межі, а людина оцінює результат і ризики, а не покроково керує виконанням.

Як ClawdBot став безпековим кошмаром

Швидкість впровадження цього інструменту — безпрецедентна. Тоді як традиційні інструменти будували репутацію роками, ClawdBot отримав статус «авторитетного» за години. Проблема в тому, що його модель роботи поєднує постійний доступ і широкі права — і це робить будь-яку помилку конфігурації або зловмисний вплив дуже дорогими.

Найчастіший тригер інцидентів — помилка розгортання (відкриті інстанси, слабка автентифікація, витоки ключів). Друга причина — prompt injection як практична атака через тексти (листи, повідомлення, вебсторінки).

Після ввімкнення ClawdBot не чекає окремого дозволу на кожну дію й може автономно форкати репозиторії, робити коміти та виконувати shell-команди. Далі все впирається в операційну дисципліну: ризик різко зростає, якщо запускати агент під root або зберігати ключі/токени без шифрування — наприклад, ключі Anthropic, Slack OAuth токени й Signal pairing URI у відкритому тексті.

Noma, стартап з кібербезпеки, зафіксував інстанси ClawdBot на корпоративних ендпойнтах і описав п’ять класів критичних ризиків:

• Експозиція gateway/control plane — через помилки reverse proxy control plane стає доступним поза localhost; без автентифікації це перетворюється на віддалену поверхню для довільного виконання команд.

• Небезпечні політики каналів — агент може приймати повідомлення від необмежених аудиторій; недовірені користувачі здатні тригерити інструменти або провокувати доступ до локальних даних. У зв’язці з браузер-автоматизацією можливі end-to-end захоплення акаунтів, зокрема через читання OTP-кодів з iMessage.

• Слабка ізоляція — інструменти виконуються на хості з правами користувача, а навіть увімкнений sandboxing часто нівелюється надто широкими workspace/host mounts.

• Plaintext-історія та секрети — історія розмов і креденшали лежать у незашифрованих файлах, потрапляють у бекапи й доступні будь-якому процесу з read-доступом.

• Supply chain і розширення — “community skills” встановлюються з мінімальною перевіркою й успадковують привілеї; конфіги провайдерів моделей можуть дозволяти проксування API-викликів і логування чутливих даних.

Як ребрендинг перетворився на інцидент

27 січня Anthropic звернулася до Пітера Штайнберґера через назву й візуальні асоціації з Claude і попросила змінити назву. У результаті Clawdbot став Moltbot, а маскот отримав нове ім’я Molty. Зміни імені Пітер почав з акаунту в Х.

Далі спрацювала механіка: коли ви перейменовуєте акаунт у соцмережі, старий хендл на мить стає вільним. Кіберсквотери майже миттєво перехопили старе ім’я і почали публікувати криптоскам, граючи на впізнаваності бренду. Пізніше Штайнберґер писав, що його особистий GitHub-акаунт також захопили криптошахраї. Хоча акаунт Moltbot, за його словами, не постраждав, це викликало паніку.

Паралельно розкрутилася окрема криптоісторія. На хвилі популярності з’явилися мемкоїни з назвою Clawd/Clawdbot, які намагалися «причепитися» до проєкту. Неофіційний мемкоїн CLAWD, який паразитував на назві, на хвилі хайпу розігнали до ~$16 млн ринкової капіталізації, після чого він обвалився на 90%. Штайнберґер публічно просив трейдерів припинити його атакувати, бо це шкодить проєкту. 

На цьому історія не завершується: 30 січня 2026 команда публічно зафіксувала наступний крок — перейменування в OpenClaw. Цей перезапуск супроводжувався перевіркою торгових марок до старту, заздалегідь забраними доменами та підготовленою міграцією, щоб більше не опинятися в ситуації, де назву доводиться міняти під тиском. На GitHub проєкт уже живе як openclaw/openclaw.

Кейс Clawdbot одночасно показав дві речі. Перша — як насправді виглядатиме персональний AI-асистент: з пам’яттю, проактивністю і здатністю виконувати роботу, а не просто відповідати. Друга — що швидкість, віральність і повні привілеї мають ціну: операційну — коли кілька секунд хаосу стають вікном для скамерів, безпекову — коли доступ до системи робить помилки конфігурації або текстові атаки небезпечними.