OpenClaw прошёл путь от хобби-проекта до самого быстрорастущего open-source-проекта в истории GitHub, запустив настоящую гонку вооружений среди крупнейших IT-компаний. Пользователи скупают Mac mini, команды разрабатывают десятки агентов через Kubernetes, а технологические гиганты выпускают решения на базе хайпового продукта. На русском языке материалов об OpenClaw в бизнесе и разработке почти не было. Закрываем пробел: разбираем архитектуру мультиагентных систем, реальные сценарии оркестрации и ситуацию на рынке B2B-решений.

OpenClaw называют самым быстрорастущим open-source-проектом в истории, рекордсменом GitHub и «новым витком ИИ-революции». В то же время его называют «самым опасным ПО в мире». Изначально он задумывался как «агент-одиночка» для решения бытовых задач обычного пользователя.

Но разработчики быстро вышли за рамки. Сегодня агенты используют в автоматизации DevOps, запускают десятки экземпляров через Kubernetes, выходят гайды по оркестрации и оптимальным структурам виртуальных команд. Хотя большинство экспериментов пока проходят на оригинальном OpenClaw, крупные IT-компании уже активизировались, выпуская конкурирующие решения и проекты, развивающие идею. Почти все запуски новых продуктов для бизнеса пришлись на одну неделю — их мы разберём ниже.

«Вот куплю себе Mac mini…»

Первое, что делать точно не нужно — покупать Mac mini. В США подходящие устройства исчезли с прилавков, и ситуация стала мемом. Да, локальный запуск удобен для тестов, особенно если вы хотите автоматизировать пару задач. Но при столкновении со сложными сценариями локальное решение быстро упирается в ограничения.

На сервере OpenClaw раскрывается иначе: появляется изоляция окружения, логирование, простые откаты и безопасное хранение секретов. Главное — возможность запускать параллельные агенты, выстраивать из них команды с иерархией и автоматизировать комплексные задачи, с которыми сталкиваются команды разработки.

Но сначала — о главном и самом обсуждаемом недостатке OpenClaw: безопасности.

Безопасность и массовые атаки на ПК разработчиков

После релиза OpenClaw получил звание «неограниченной поверхности атаки с полным доступом к учётным данным». За два месяца многое изменилось, но назвать его безопасным всё ещё нельзя. Стремительное развитие проекта не всегда идёт ему на пользу: критические уязвимости закрываются с задержкой, а из-за атак на цепочку поставок обновления выходят уже с дырами, которые могут оставаться активными часами или даже днями.

Проблемы включают доступ к API-ключам через gateway, авторизацию по недействительным токенам, повышение прав до администратора при простой попытке сопряжения. Цена взлома очень высока.

Один из распространённых способов атаки — фальшивые «навыки» для агентов с GitHub. По разным оценкам, до 20% всех опубликованных навыков содержат вредоносные инструкции. Они работают как промт-инъекции и могут перехватить управление ПК, похитить API-ключи и другие данные.

Как деплоить и контролировать агентов в DevOps

«Сотня агентов OpenClaw» — это не просто сотня процессов, а пайплайн. Задачи попадают в очередь, планировщик разбивает их на логические шаги, а агенты выполняют в изолированных средах. Без очереди система быстро становится неуправляемой: прямые вызовы агентов друг другом приводят к бесконечной рекурсии, которую невозможно отладить.

Контейнеры должны быть эфемерными — быстро запускаться и исчезать. Долгоживущие агенты накапливают состояние и начинают выдавать непредсказуемые результаты. Гораздо надёжнее работает цикл «задача → действие → отчёт».

Работа с минимально необходимым количеством агентов повышает устойчивость. Kubernetes и Docker Compose оправданы только при реальных проблемах — например, OOM-киллы из-за нехватки памяти или аномальная нагрузка на CPU при параллельных сессиях.

Где мультиагентная система чаще всего ломается

• Лимиты ресурсов. Без жёстких ограничений по CPU и памяти одной ошибки достаточно, чтобы система вышла из строя. Сбой планировщика, создающий десятки агентов, приведёт к конкуренции за ресурсы и лавинообразному росту расхода токенов. Затраты могут перевесить любую пользу, особенно если ошибка не устранена быстро.
• Переполненный контекст. Деградация агентов начинается задолго до заполнения окна. Модели начинают путать инструкции, терять приоритеты, повторять действия. Рекомендация: сократить системный промт в файлах OpenClaw и вынести информацию в AGENT.md.
• Задержка (latency). Архитектура planner-executor добавляет задержку на каждом шаге — планирование, доставка задачи, выполнение, возврат результата. На коротких задачах накладные расходы сводят на нет выгоду от параллельности. Мультиагентная схема оправдана только для тяжёлых задач.
• Отсутствие ресурсов у планировщика. Свободная память для планировщика критична. В тестах это повышало эффективность до 30%. Для исполнителей важнее чёткие инструкции, чем объём памяти.

Нужна ли агентам память?

Важно различать два типа памяти: краткосрочную (контекст выполнения) и долговременную (persisted state). В большинстве случаев достаточно первого.

Агенты часто общаются через MEMORY.md, но его использование должно быть строго ограничено, иначе он превратится в свалку логов. Для большинства кейсов лучше использовать субагентов — изолированных исполнителей, которые запускаются параллельно и сообщают о результатах.

Если нужна долговременная память, её выносят за пределы агента — в базы данных или хранилища. Агент каждый раз работает с нуля, а состояние подгружается явно и дозированно. Это упрощает отладку.

Поэтому агентов удобнее держать stateless — без сохранения состояния между задачами. Память может показаться удобной, но переполненный контекст быстро увеличивает количество ошибок. А в DevOps-задачах повторяемость и надёжность — ключевые факторы.

«Планировщик-исполнитель». Как агентам делегировать обязанности

Для сложных задач подходит сценарий planner-executor: сильная модель планирует действия, а более дешёвые выполняют план, используют инструменты и при необходимости повторяют задачи через loop-архитектуру.

В роли планировщика лидируют Claude Opus и ChatGPT. Китайские и российские модели справляются хуже, но в роли исполнителей разница стирается — на простых задачах менее мощные модели работают хорошо.

Одна из неожиданных находок: сильные модели более уязвимы к промт-инъекциям. Они лучше следуют сложным инструкциям — в том числе вредоносным. Поэтому изоляция планировщика от внешнего мира особенно важна.

Сколько агентов — слишком много?

Если агенту разрешён доступ к shell или конфигам, он может запускать новых агентов самостоятельно — не как заявленная функция, а как побочный эффект tool-архитектуры. На практике это почти всегда оверхед: усложнение цепочки ведёт к каскадному росту ошибок.

Вызовы агентов оправданы в сценариях planner-executor. Для простых задач эффективнее tool-routing: агент вызывает нужные навыки по мере необходимости, не создавая лишних сущностей.

Не только OpenClaw

Всё перечисленное — минимальный набор, который превращает мультиагентную систему из красивого эксперимента в рабочее решение. Остальное — детали стека и задач.

Пока разработчики экспериментировали с доступной мультиагентностью, бизнес оценивал риски. Но буквально за одну неделю всё изменилось: крупнейшие IT-компании США и Китая почти одновременно представили релизы, расширяющие функционал OpenClaw и делающие его пригодным для бизнеса.

OpenClaw в США. Anthropic дважды «убивает» OpenClaw

Первым громким анонсом стало выступление главы NVIDIA Дженсона Хуанга. Он заявил, что «OpenClaw по важности равен HTML и Linux», и представил NemoClaw — оболочку для OpenClaw с корпоративными стандартами безопасности. Cisco выпустили open-source версию DefenseClaw.

Самый громкий релиз — у Anthropic. Компания представила сразу два продукта, дублирующих OpenClaw. Сначала вышел сервис Dispatch для управления Claude Code через мессенджеры. Через несколько дней в десктоп-приложение Claude добавили возможность управлять компьютером с помощью текстовых команд.

По словам главреда Authority Hacker, продукт Anthropic «может выполнять 90% задач OpenClaw на 90% безопаснее». Claude Code уже популярен у разработчиков и, вероятно, заберёт значительную долю требовательных пользователей. Сейчас его активно тестирует IT-сообщество, у которого запросы сильно отличаются от запросов обычных пользователей.

Китайский госзаказ

Внедрение в Китае идёт стремительно. Все крупнейшие компании страны объявили о запуске проектов на основе OpenClaw. Синхронность запусков говорит о возможном участии правительства.

Tencent официально интегрировали OpenClaw в WeChat — мессенджер с миллиардной аудиторией. Это беспрецедентное доверие к продукту западного происхождения.

Baidu представили инфраструктуру для управления ИИ-агентами, которую сами назвали «армией лобстеров».

Самый громкий релиз — у Alibaba Group. Компания заявила, что «миг популярности OpenClaw уже миновал», и представила целую корпоративную среду для контроля мультиагентных команд. В ней обещается поддержка горизонтального масштабирования «из коробки», Kubernetes, гибкое распределение ресурсов и изолированные POD с полноценными средами для агентов.

Даже если OpenClaw не удержит лидерство в бизнес-сегменте, он уже задал вектор развития интерфейсов на ближайшее время. Речь не о коде, а об архитектурном сдвиге: от создания всё более умных ИИ — к оригинальному комбинированию существующих инструментов.

Теперь ясно: ИИ можно доверять выполнение сложных сценариев, формировать из агентов устойчивые команды и надёжно автоматизировать повторяющиеся процессы. Вопрос для бизнеса — не в необходимости, а в сроках внедрения.

Остаётся множество проблем: риски безопасности, сложности масштабирования, параллельный запуск агентов. Но все эти функции появятся в ближайшем будущем. Над OpenClaw работает огромное коммьюнити, репозиторий с огромной скоростью обрастает апдейтами, всё чаще касающимися корпоративной безопасности.

У OpenClaw хорошие перспективы и в России. Открытый код и возможность подключать сторонние языковые модели делают его интеграцию вопросом времени. На Habr уже есть гайды по подключению российских LLM, а использование локальных моделей снимает многие вопросы безопасности.

OpenClaw прошел путь от хобби-проекта до самого быстрорастущего open-source-проекта в истории GitHub — и запустил настоящую гонку вооружений среди крупнейших ИТ-компаний. Пользователи скупают Mac mini, команды разработки деплоят десятки агентов через Kubernetes, а ИТ-гиганты выпускают решения на базе хайпового продукта. На русском языке материалов об OpenClaw в бизнесе и разработке практически не выходило. Закрываем пробел и разбираем архитектуру мультиагентных систем, реальные сценарии оркестрации, а также ситуацию на рынке B2B-решений.

Самый быстрорастущий open-source в истории, рекордсмен GitHub, «новый виток ИИ-революции» — а по совместительству «самое опасное ПО в мире». OpenClaw задумывался как «агент-одиночка», решающий бытовые задачи рядового пользователя.

Конечно, это не остановило разработчиков, ы. Агентов применяют в автоматизации DevOps-процессов, деплоят десятки агентов через Kubernetes, выходят гайды по оркестрации и оптимальным структурам виртуальных команд.

Пока эксперименты проходят на оригинальном OpenClaw, но крупные ИТ-компании выходят из спячки и одна за одной выпускают конкурирующие решения и проекты, развивающие OpenClaw. Почти все запуски новых продуктов для бизнеса пришлись на прошлую неделю. Их мы также разберем ниже в тексте.

«Вот куплю себе Mac mini…»

Первое, что делать точно не нужно, — покупать Mac mini. Ситуация на американском рынке, где смели все подходящие девайсы с полок, уже стала мемом. Да, для рядового пользователя, желающего автоматизировать пару дел и протестировать новую игрушку, решение имеет право на жизнь. Локальный запуск удобен для тестов, но быстро упирается в ограничения при встрече со сложными задачами.

На сервере OpenClaw раскрывается с другой стороны: становятся возможны изоляция окружения, логирование, простые откаты и безопасное хранение секретов. Серверная архитектура открывает главное — возможность запускать параллельных агентов, выстраивать из них команды с иерархией и автоматизировать комплексные задачи, с которыми сталкиваются команды разработки.

Но сначала обсудим главный и самый обсуждаемый недостаток OpenClaw: огромные проблемы с безопасностью.

Безопасность и массовые атаки на ПК разработчиков

После выхода OpenClawсразу получилгордое звание «неограниченной поверхности атаки с полным доступом к учетным данным». За прошедшие два месяца многое изменилось, но назвать OpenClaw безопасным все еще не выходит. Стремительное развитие проекта не всегда идет ему на пользу — критические уязвимости закрываются не сразу, а из-за атак на цепочку поставок обновления выходят уже с дырами, которые иногда остаются активны на протяжение часов и даже дней.

Доступ к API-ключамчерез gateway, авторизация понедействительным токенам, повышение прав до админских при простойпопытке сопряжения… Имя им, конечно, не «легион», но цена взлома очень велика.

Один из оригинальных способов атаки — взлом OpenClaw с помощью фальшивых «навыков» для агентов с GitHub. По разнымоценкам, до 20% всех опубликованных навыков содержат вредоносные инструкции. Они выступают в качестве промт-инъекции и способны как перехватить управление ПК, так и похитить ключи API и другие данные.

Как деплоить и контролировать агентов в DevOps

Заветная «сотня агентов OpenClaw» — это не сотня процессов, а пайплайн. Задачи падают в очередь, планировщик разбивает их на логические шаги, а агенты разбирают их и выполняют в изолированных средах. Без очереди система не живет — прямые вызовы агентов друг другом быстро превращаются в рекурсию, которую невозможно отладить.

По той же причине контейнеры должны быть эфемерными, быстро запускаться и исчезать. Долгоживущий агент накапливает состояние и начинает давать непредсказуемые результаты. Цикл «задача → действие → отчет» работает гораздо надежнее.

Работа с минимально необходимым количеством агентов также повышает устойчивость системы. Kubernetes и Docker Compose нужны, когда есть конкретные проблемы — OOM-киллы из-за отсутствия оперативной памяти, аномально высокая нагрузка на CPU при нескольких параллельных сессиях.

Где мультиагентная система чаще всего ломается

Проблемы с запуском команд ИИ-агентов существовали и до OpenClaw. Поэтому некоторые из них уже хорошо исследованы, а другие являются специфичными для новой платформы. Конечно, способов все сломать существует бесконечное количество, но некоторые из них встречаются в практике чаще всего.

• Лимиты ресурсов.Без жестких лимитов на CPU и память системедостаточноодной ошибки, чтобы выйти из строя и деградировать. Сбой планировщика, создающий автоматически десятки агентов,приведетк конкуренции за выделенные ресурсы и лавинообразному росту расхода токенов. Затраты в этом случае могут перевесить любой полезный результат, особенно если не устранить ошибку быстро.
• Переполненный контекст.Деградация агентов в OpenClawначинаетсязадолго до заполнения окна. Модели начинают ошибаться, терять приоритеты и путать инструкции. Агент перестает различать, что важно, а что было промежуточным шагом, начинает повторять действия или игнорировать ограничения. Одна из рекомендаций — для экономии уменьшить системный промт в файлах OpenClaw. Например, сократить и вынести всю информацию вAGENT.md.

• Задержка (latency).Planner-executor добавляет задержку на каждом шаге: планирование, доставка задачи, выполнение, возврат результата. На коротких задачах накладные расходы съедают всю выгоду от параллельной работы. Мультиагентная схема оправдана только там, где задачи достаточно тяжелые, чтобы этот overhead не был заметен.
• Отсутствие ресурсов у планировщика.Выделение свободной памяти для планировщика критически важно. В тестах рост эффективностисоставлялдо 30%, позволяя модели отслеживать этапы выполнения задачи. Для исполнителя память почти не важна — гораздо больше на результат влияют точно сформулированные инструкции.

Нужна ли агентам память?

Важно разделять два типа памяти: краткосрочную (контекст выполнения задачи) и долговременную (persisted state). И первого вида памяти в большинстве случаев достаточно.

Главный способ коммуникации для агентов — обращения вMEMORY.md. Его использование должно быть строго ограничено, или память быстро превратится в свалку логов. Существуют «навыки» (tools) для коммуникации между агентами, но для большинства кейсоврекомендуютиспользовать субагентов, которые запускаются параллельно и изолированно, а в конце сообщают о результатах работы.

Если память все же нужна, ее выносят за пределы агента: в базы данных или хранилища, где она используется как источник данных, а не как часть мышления модели. В этом случае агент каждый раз работает с нуля, а все состояние подгружается явно и дозированно. Это сильно упрощает отладку.

По этой причине агентов удобнее держать stateless — без памяти между задачами. Использование памяти может показаться удобным решением, но переполненный контекст быстро начнет увеличивать количество ошибок. А повторяемость и надежность в DevOps-задачах сложно переоценить.

«Планировщик-исполнитель». Как агентам делегировать обязанности

Для сложных задач подходит planner-executor-сценарий: старшая модель планирует действия и формулирует задачи, а более дешевые выполняют план, используют  инструменты и при необходимости повторяют задачи по расписанию через loop-архитектуру.

В роли planner с отрывом лидируют Claude Opus и ChatGPT. Китайские и российские модели с планированиемсправляютсяхуже, но в роли executors разница стирается: на простых и повторяющихся задачах менее мощные модели показывают себя вполне хорошо.

Одной из неожиданных находок является то, что сильные языковые моделиболее уязвимык промт-инъекциям: они лучше следуют сложным инструкциям, и это распространяется на вредоносные команды. Поэтому для planner`а изоляция от внешнего мира особенно важна.

Сколько агентов — слишком много?

Если агенту разрешен доступ к shell или конфигам, он может запускать новых агентов самостоятельно — не как заявленная функция, а как побочный продукт tool-архитектуры. На практике это почти всегда оверхед: усложнение цепочки ведет к каскадному росту ошибок.

Вызовы агентов удобны в planner-executer-сценариях, где старшая модель планирует действия, а слабые модели выполняют последовательность действий.Tool-routingостается более эффективным для решения простых задач: агент просто вызывает навыки по необходимости, не создавая лишних сущностей.

Не только OpenClaw

Все это — минимальный набор решений, который отделяет работающую мультиагентную систему от красивого эксперимента, который ломается в продакшне. Остальное — детали конкретного стека и задачи.

Пока разработчики экспериментировали с долгожданной доступной мультиагентностью, бизнес оценивал риски и не спешил внедрять непроверенный продукт. Все изменилось буквально за одну неделю: крупнейшие ИТ-компании США и Китая почти одновременно выступили с релизами, расширяющими функционал OpenClaw и делающими его доступным для бизнеса.

OpenClaw в США. Anthropic дважды «убивает» OpenClaw

Первым громким анонсом стало выступление главы NVIDIA Дженсона Хуанга. Он заявил, что «OpenClaw по важности равен HTML и Linux», и представилNemoClaw— оболочку для OpenClaw с корпоративными стандартами безопасности. Cisco также сообщили о выпуске безопасной opensource версииDefenseClaw.

Самый громкий релиз пока что принадлежит компании Anthropic. Компания выпустила подряд сразудва продукта, дублирующие функционал OpenClaw. Сначала вышел сервис Dispatch для управления ClaudeCode через мессенджеры. Уже через несколько дней в десктоп-приложение Claude добавили возможность управлять компьютером с помощью текстовых команд.

Пословамглавреда Authority Hacker, продукт Anthropic «может выполнять 90% задач OpenClaw на 90% безопаснее». Claude Code лидирует по написанию кода и очень популярен у разработчиков, а значит, точно заберет свою долю требовательных к качеству пользователей. Сейчас новую фишку активно тестирует ИТ-сообщество, требования к агентским системам в котором совсем не похожи на запросы простых пользователей.

Китайский госзаказ

Внедрение нового инструмента в Китае происходит очень стремительно. О запуске собственных проектов на основе OpenClaw объявили все крупнейшие компании страны. Причем продукты вышли настолько синхронно, что в участии правительства Китая сомневаться не приходится.

Tencentофициально внедрили OpenClaw в WeChat, национальный китайский мессенджер с миллиардной аудиторией, продемонстрировав беспрецендное доверие к новому продукту, еще и пришедшему с Запада. Второй гигант, Baidu, представил инфраструктуру для управления ИИ-агентами («армия лобстеров», как называет их сама компания).

Самый громкий релиз принадлежит Alibaba Group. Компания заявила, что «миг популярности OpenClaw уже миновал», и представилацелую корпоративную средудля контроля мультиагентных команд. В ней обещается поддержка горизонтального масштабирования «из коробки», Kubernetes, гибкое распределение ресурсов и изолированные POD с полноценными средами для агентов.

Даже если OpenClaw не удастся сохранить лидерство в бизнес-сегменте, он, безусловно, успел задать вектор развития интерфейсов на ближайшее время. Дело не в оригинальности кода, а в архитектурном сдвиге: от создания все более и более умных ИИ к оригинальному комбинированию существующих инструментов.

Теперь мы знаем, что ИИ можно доверять выполнение сложных сценариев, формировать из агентов устойчивые команды и надежно автоматизировать повторяющиеся процессы. Вопросом для бизнеса теперь является не необходимость ИИ-агентов, а сроки их внедрения.

При этом остается огромное количество проблем, от рисков безопасности до сложностей масштабирования и параллельного запуска агентов. Но нет сомнений, что все эти фичи появятся в ближайшем будущем. Над OpenClaw работает огромное коммьюнити,репозиторийс огромной скоростью обрастает апдейтами, которые все чаще касаются соответствия безопасности корпоративным запросам.

У OpenClaw в России хорошие перспективы для развития. Открытый код и возможность подключать сторонние языковые модели делают его интеграцию  вопросом времени. На Habr`е уже естьгайдыпо подключению к OpenClaw российских LLM, а использование локальной языковой модели снимает многие вопросы безопасности.