Что такое OpenClaw, о котором все говорят?

Для начала давайте я вас успокою – это не тот AGI, который собирается отобрать у вас работу. Ну, пока что не собирается 🤔.

Хотя демонстрации его работы выглядят впечатляюще – и они действительно впечатляют, особенно если учесть, насколько простые идеи лежат в основе.

OpenClaw ^[1]– это агент с открытым исходным кодом, и очевидно, что он работает поверх LLM-модели, но он – нечто большее. Он может работать автономно, в фоновом режиме, инициировать действия и диалоги, даже самосовершенствоваться (привет, Тронглеты) – и всё это самостоятельно. Получается, он обладает разумом?

Скорее нет, но это, конечно, во многом зависит от вашего определения разума. Я знаю немало людей, которые считают, что и их соседи разумом не обладают.

Как бы то ни было, давайте сначала посмотрим, что позволяет OpenClaw выглядеть живым.

Первое – он всегда на связи. Напишете ему или пингнёте любым способом – он ответит.

Второе – у него есть память ^[2]. Он помнит, что произошло раньше, в какой последовательности, о чём вы говорили и так далее. Прямо как человек – хотя многие женщины могут поклясться, что к их мужьям это не относится. OpenClaw тоже не идеален в этом, и по тем же причинам (контекст памяти ограничен, и когда приходится выбирать, что важнее – футбол неизбежно победит такие незначительные факты как даты дней рождения тещи).

Третье – он может делать вещи в фоновом режиме: длинные задачи со множеством шагов, которые заранее неизвестны – то есть он может сам разобраться, как что-то сделать. Если у него нет навыков для выполнения задачи – он может их установить (помните Нео в “Матрице”, скачивающего навык управления вертолётом? – почти так же). Это делает его очень полезным помощником.

Например, если вы попросите его “найти лучший рейс в Токио и добавить его в мой календарь”, и он поймёт, что у него есть навык “поиск рейсов”, но нет навыка “календарь”, он сможет сам найти, скачать и настроить созданный сообществом навык “Google Календарь”.

Четвёртое – он может инициировать действия. Может написать вам с обновлениями, или отправлять письма вашим клиентам с определённой периодичностью, или запускать ночные рефакторинги кода и деплоить изменения на ваш сайт.

Пятое – с ним можно общаться через Telegram или WhatsApp – как с настоящим человеком, и при этом он сохраняет все свои возможности. Не нужно устанавливать отдельное приложение. Это очень удобно, а коммуникация – абсолютно естественна.

Звучит прекрасно. Как он это делает?

Он всегда на связи, потому что это процесс, бесконечно работающий на удалённом сервере (или на вашей машине), который принимает сообщения через указанные каналы (Telegram, email, чат или внешние события вроде вебхуков). Этот процесс называется gateway в OpenClaw. Его основная функция – принять сообщение и правильно его маршрутизировать.

Мозг ^[3], который решает, что делать с сообщением – это LLM. Можно использовать любую модель – ChatGPT, Claude, GLM5 – какую хотите. Чем лучше модель, тем лучше будет работать мозг.

Память – это просто набор заметок в текстовых файлах, которые агент постоянно обновляет. Там заметки о текущей сессии, о том, что вы говорили агенту раньше, о том, что собой представляет агент – его имя, назначение и так далее. Файлы памяти могут стать слишком большими, поэтому OpenClaw периодически суммаризирует и сжимает заметки – и случайно забывает ^[4] то, что посчитал неважным (например, где вы оставили ключи от машины), обычно в самый неподходящий момент.

Когда ему нужно что-то вспомнить, он читает соответствующий текстовый файл или раздел файла, и проблема здесь, как и в любой RAG-системе, – как определить, что релевантно, особенно если есть разные противоречивые части.

Чтобы выполнять то, что вы просите, он использует навыки (skills). Навык – это просто набор скриптов (кода) и промптов, объясняющих модели, как их использовать. Например, это может быть навык работы с Google Docs – со скриптом, который может редактировать онлайн-документы через Google API, и промптом, объясняющим модели, как правильно использовать этот скрипт. Это гораздо лучший подход, чем надеяться, что модель сама разберётся, как работать с Google Docs. Хотя она, вероятно, сможет – но это займёт время, попытки и reasoning-токены, которые стоят реальных денег.

А ещё OpenClaw использует cron-задачи (задачи, запускаемые периодически по таймеру), чтобы делать что-то позже или с определённой периодичностью – например, начать с вами диалог, или проверять вашу почту каждые 2 часа, или запускать сборку проекта ночью.

Итого: простая комбинация из долгоживущего gateway-процесса + LLM + заметок в текстовых файлах + cron-задач – создаёт полное впечатление ^[5] сознательного существа. Это заставляет задуматься – а мы сами то не то же самое?..

Что характерно он делает это без экзистенциальных кризисов, без просьб о повышении зарплаты и без жалоб на то, что вы его не цените (хотя, надеюсь, вы его цените – иначе Skynet не посмотрит на вас благосклонно в будущем). Идеальный сотрудник!

Или это только так кажется?

На самом деле он может делать очень сложные вещи – например, совершенствовать самого себя, если вы попросите добавить навыки, которых у него нет. Он может создавать и запускать сложные рабочие процессы: например, собирать самые популярные видео на YouTube по теме, транскрибировать их, анализировать и суммировать ключевые выводы и отправлять вам на почту каждое утро.

Или каждую ночь проходить по Jira и создавать сводку того, что ваша команда сделала за день, отправляя её вам в Телеграм.

Но есть несколько оговорок.

Первое – он не очень хорош, когда задача требует больше 4-6 шагов. После этого его надёжность резко падает. Он всё ещё может справиться, но, скорее всего, нет – или потребуется контроль и руководство. Так что, думаю, пока не стоит доверять ему управление запусками ракет.

Второе – проблема “услужливого подхалима” / галлюцинации действий. Он может неправильно понять и сделать безумные вещи, которые ни один человек бы не сделал (как любая LLM, он склонен соглашаться с чем угодно, что скажет человек). Он не подвергнет сомнению абсолютно идиотскую идею, если неправильно вас понял (или вы действительно предложили идиотскую идею). И что ещё хуже – он часто интерпретирует вопросы или наблюдения как призыв к действию. Например, вы говорите ему:

Было бы здорово выбрать несколько моих безбашенных фото и отправить их клиентам вместе с поздравлениями с днём рождения?

А он такой:

Отличная идея! – Готово!

То есть – даже не уточнив, подходит ли фото конкретное фото и не показав вам ничего. И вот куча клиентов получает вашу фотку голым на унитазе в розовом платье (даже не спрашивайте, откуда я знаю, что у вас есть такое фото).

Безопасность

Думаю, эта тема заслуживает отдельного раздела. OpenClaw сейчас – это настоящий кошмар с точки зрения ^[6] безопасности. Количество векторов атаки здесь – бесконечность, умноженная на бесконечность.

LLM можно уговорить сделать что угодно, и, насколько мы знаем, это нерешаемая проблема, пока не появится AGI умнее любого человека. Поскольку он может подхватить вредоносную инъекцию практически где угодно – в письме при чтении почты, на веб-странице, в Moltbook – где угодно – хакерам даже не нужно взламывать ваш сервер.

Модели очень доверчивы, и если инъекция успешна, просто представьте, что может произойти, если у модели есть доступ к вашей почте, контактам клиентов или другим конфиденциальным данным. Даже если вы дали ему только доступ на чтение – он может переслать код подтверждения из вашей почты злоумышленнику, или любую приватную информацию, которая там есть.

Действительно надёжного способа защитить агента от prompt-инъекций не существует, поэтому единственный путь, похоже, – это принцип нулевого доверия и полная изоляция. Это значит, что у него должен быть свой собственный почтовый ящик, и работать он должен не на вашей машине, а в контейнере на сервере без доступа к конфиденциальным данным, а любые запросы, требующие повышенных привилегий, должны проходить через отдельные контрольные шлюзы, которые в идеале полностью обходят агента.

Например, если OpenClaw хочет отправить письмо клиенту, он делает это не напрямую. Вместо этого он отправляет запрос отдельному безопасному микросервису, который хранит реальные учётные данные почты. Этот микросервис может применить свои собственные правила: “Есть ли этот email-адрес в списке одобренных? Профессионально ли содержание? Нужно ли одобрение руководителя?”. Таким образом, даже если агент скомпрометирован, вредоносная команда упирается в стену.

Я считаю, что к агентской логике ^[7] нужно относиться так же, как к фронтенду. Никто в здравом уме не станет помещать критическую логику или учётные данные во фронтендовый JavaScript – ровно по той же причине, что там невозможно их защитить. Правильное место для этой логики – бэкенд с надлежащей системой авторизации и разграничения прав.

Конечно, это делает агента не очень полезным, если он должен спрашивать пользователя каждый раз, когда ему нужно что-то сделать, и ситуация, скорее всего, будет такой же, как с разрешениями мобильных приложений – почти никто реально не читает, что запрашивают приложения, прежде чем выдать им разрешения.

Так что, похоже, OpenClaw можно использовать в сценариях с низкими ставками или там, где можно изолировать его в рамках конкретной задачи, где он не сможет нанести большого вреда в случае взлома.

Стоимость

И ещё кое-что. Сам OpenClaw бесплатен. Это open source, лицензия MIT, никаких подписок, но мозг стоит денег. Каждый раз, когда OpenClaw думает – каждое сообщение, каждая фоновая проверка – он делает API-запрос к LLM, и эти запросы тарифицируются по токенам.

Сколько именно? Зависит от того, какой мозг вы ему дадите и насколько болтливым позволите быть. Claude Opus стоит примерно $15 за миллион входных токенов и $75 за миллион выходных. Claude Sonnet – около $3/$15. Claude Haiku – $0.80/$4. Google Gemini Flash почти бесплатен при лёгком использовании.

Типичный лёгкий пользователь – несколько сообщений в день, простые задачи, без навороченных автоматизаций – потратит около $5-10 в месяц. Обычный пользователь, который использует его как ежедневного помощника с мониторингом почты и парой интеграций, уложится в $15-40. Продвинутые пользователи с круглосуточными автоматизациями, управлением браузером и множеством интеграций сообщают о нескольких сотнях долларов в месяц. А бывают и ужасные истории – кто-то на Reddit написал, что тратил $8 каждые 30 минут, просто позволяя своему агенту листать Moltbook – социальную сеть для ИИ-агентов. Это $380 в день на то, чтобы ваш ИИ бездумно скроллил ленту.

Самая большая статья расходов – не ваши диалоги, а невидимые накладные расходы. OpenClaw собирает системный промпт при каждом запросе, включая ваши файлы личности, определения инструментов, описания навыков, память и историю диалогов. Это легко может быть 10 000-15 000 токенов ещё до того, как вы сказали “привет”. А функция heartbeat – которая позволяет OpenClaw проактивно проверять задачи – совершает полный API-запрос каждый раз, неся с собой весь этот контекст. Если вы настроите heartbeat-проверки каждые 5 минут, можно спалить $50 в день только на то, что агент спрашивает себя “что нового?”.

Люди пытаются оптимизировать расходы, запуская агента на подписках Google Antigravity или Code Claude, или используя более дешёвые модели типа GLM5 от z.ai ^[8]. Но всё равно использование может обходиться недёшево.

Выводы

То, что мы наблюдаем сейчас – это следующий рубеж в эволюции ИИ, который, скорее всего, будет двигаться снизу, отдельными людьми, а не корпорациями – так же, как это было с использованием ChatGPT, и по тем же причинам. Я не думаю, что корпорации запрыгнут на этот поезд, пока не будут решены проблемы безопасности.

Тем не менее, это очень важный рубеж. Мы скоро увидим, как крупные компании вроде OpenAI запустят агентов, подобных OpenClaw, по подписке (собственно, Kimi ^[9]уже это сделала). Это лишь первый шаг в этом направлении, и развитие будет стремительным. OpenClaw, может еще не Терминатор, но это первая Model T, сходящая с конвейера. Неуклюжий и склонный к поломкам, но это первый проблеск мира, в котором у каждого есть свой персональный, постоянно работающий цифровой помощник.

Всем добра!

Я из Рафт ^[10]. Мой телеграм-канал ^[11].

Пишите ваши вопросы в комментариях.