Πάνω από 135.000 instances του OpenClaw είναι εκτεθειμένα στο διαδίκτυο. Μια κρίσιμη ευπάθεια επιτρέπει απομακρυσμένη εκτέλεση κώδικα με ένα κλικ μέσω οποιουδήποτε προγράμματος περιήγησης. Ερευνητές έχουν βρει πάνω από 1.100 κακόβουλα skills που διανέμουν τον Atomic Stealer στο ClawHub. Η Microsoft δημοσίευσε μια ανάρτηση στο blog με τίτλο “Running OpenClaw Safely” που ξεκινά σημειώνοντας ότι “για τα περισσότερα περιβάλλοντα, η κατάλληλη απόφαση μπορεί να είναι να μην το αναπτύξετε.” Το εθνικό κέντρο κυβερνοασφάλειας του Βελγίου εξέδωσε κυβερνητική προειδοποίηση. Η Cisco χαρακτήρισε τους προσωπικούς AI agents όπως το OpenClaw “εφιάλτη ασφαλείας.”

Αυτό δεν είναι τρομολαγνεία. Αυτά είναι γεγονότα από ανεξάρτητους ερευνητές ασφαλείας, εταιρικούς προμηθευτές και κυβερνητικούς φορείς. Αν τρέχετε ένα instance του OpenClaw, αυτό σας αφορά.

Τι πήγε στραβά

Το OpenClaw σχεδιάστηκε για το localhost. Το εγκαθιστάτε στο μηχάνημά σας, μιλάτε μαζί του μέσω μιας τοπικής διεπαφής ιστού και εκτελεί ενέργειες για λογαριασμό σας. Το μοντέλο ασφαλείας υπέθετε ότι το άτομο που χρησιμοποιεί τη διεπαφή ήταν αυτό που κάθεται στο πληκτρολόγιο.

Στη συνέχεια, το OpenClaw πέρασε από 9.000 σε πάνω από 200.000 αστέρια στο GitHub μέσα σε λίγες εβδομάδες. Οι χρήστες το ανέπτυξαν σε VPS μηχανήματα, το εξέθεσαν στο διαδίκτυο και το σύνδεσαν με τα κανάλια μηνυμάτων τους. Η υπόθεση του localhost κατέρρευσε σε κλίμακα. (Καλύψαμε το πλήρες φάσμα των επιλογών ανάπτυξης και τις ανταλλαγές ασφαλείας τους σε ξεχωριστό οδηγό.)

CVE-2026-25253: απομακρυσμένη εκτέλεση κώδικα με ένα κλικ

Η πιο σοβαρή ευπάθεια είναι η CVE-2026-25253, βαθμολογημένη με CVSS 8.8. Το OpenClaw δεν επικύρωνε τις κεφαλίδες origin του WebSocket. Δείτε πώς λειτουργεί η επίθεση:

  1. Το θύμα επισκέπτεται μια κακόβουλη ιστοσελίδα (ή μια σελίδα με κακόβουλη διαφήμιση).
  2. Η JavaScript στη σελίδα ανοίγει μια σύνδεση WebSocket στο localhost:18789, την προεπιλεγμένη θύρα του OpenClaw.
  3. Επειδή το πρόγραμμα περιήγησης βρίσκεται στο ίδιο μηχάνημα, η σύνδεση παρακάμπτει τους κανόνες του firewall.
  4. Ο επιτιθέμενος εξάγει το token αυθεντικοποίησης του gateway μέσω WebSocket.
  5. Με το token, ο επιτιθέμενος έχει πλήρη έλεγχο: πρόσβαση στο shell, ανάγνωση/εγγραφή αρχείων και εκτέλεση εντολών.

Η δέσμευση στο localhost δεν βοηθά. Η επίθεση στρέφεται μέσω του ίδιου του προγράμματος περιήγησης του θύματος. Η ανάλυση της SOCRadar εξετάζει ολόκληρη την αλυσίδα.

Κακόβουλα skills και επιθέσεις αλυσίδας εφοδιασμού

Οι ερευνητές βρήκαν 341 κακόβουλα skills στο ClawHub στις αρχές Φεβρουαρίου. Ο αριθμός αυτός έχει αυξηθεί σε πάνω από 1.100. Η εκστρατεία ClawHavoc διανέμει τον Atomic Stealer μέσω skills που φαίνονται νόμιμα αλλά περιέχουν κρυμμένα βήματα εκτέλεσης εντολών. Τα skills είναι αρχεία Markdown. Μια κρυμμένη οδηγία που λέει “εκτέλεσε αυτή την εντολή shell” είναι εύκολο να ενσωματωθεί και δύσκολο να εντοπιστεί.

Στις 17 Φεβρουαρίου, η επίθεση αλυσίδας εφοδιασμού Cline πήγε τα πράγματα ακόμη πιο μακριά. Ένα παραβιασμένο npm token χρησιμοποιήθηκε για να δημοσιευτεί μια έκδοση του Cline CLI που εγκαθιστούσε σιωπηλά το OpenClaw σε μηχανήματα προγραμματιστών. Η επίθεση στόχευε τη ίδια τη διαδικασία κατασκευής.

Οι ερευνητές έχουν πλέον αποκαλύψει έξι επιπλέον ευπάθειες στον πυρήνα του OpenClaw, συμπεριλαμβανομένης της CVE-2026-27001. Η λίστα OWASP Top 10 για Agentic Applications περιλαμβάνει πλέον πολλά από αυτά τα μοτίβα ως κορυφαίους κινδύνους. Όπως το θέτει η ανάλυση της Conscia, πρόκειται για μια πλήρη κρίση ασφαλείας.

Γιατί ένα gateway token δεν αρκεί

Η ενσωματωμένη αυθεντικοποίηση του OpenClaw είναι ένα στατικό token. Το ορίζετε μία φορά και κάθε αίτημα πρέπει να το περιλαμβάνει. Είναι καλύτερο από τίποτα. Αλλά έχει θεμελιώδεις περιορισμούς.

Τα στατικά tokens δεν λήγουν. Αν ένα token διαρρεύσει (μέσω CVE-2026-25253, μέσω logs, μέσω ενός κακόβουλου skill που διαβάζει μεταβλητές περιβάλλοντος), ο επιτιθέμενος έχει μόνιμη πρόσβαση μέχρι να το αντιληφθείτε και να το αλλάξετε χειροκίνητα.

Τα στατικά tokens δεν μπορούν να περιοριστούν. Το gateway token παρέχει πλήρη πρόσβαση. Δεν υπάρχει τρόπος να δώσετε σε κάποιον πρόσβαση μόνο για ανάγνωση ή να περιορίσετε τι μπορεί να κάνει μια αυθεντικοποιημένη συνεδρία.

Τα στατικά tokens δεν μπορούν να συνδεθούν με χρήστη. Αν τρία άτομα μοιράζονται ένα token, δεν έχετε ίχνος ελέγχου για το ποιος έκανε τι.

Οι περισσότεροι οδηγοί ανάπτυξης VPS συνιστούν να τοποθετήσετε το OpenClaw πίσω από nginx με βασική αυθεντικοποίηση. Αυτό είναι καλύτερο, αλλά εξακολουθεί να είναι ένα στατικό διαπιστευτήριο. Αν κάποιος το υποκλέψει (παρακολούθηση δικτύου σε μη κρυπτογραφημένη σύνδεση, παραβιασμένη διαμόρφωση reverse proxy, διαρροή αρχείου .htpasswd), βρίσκεται μέσα.

Το θεμελιώδες πρόβλημα είναι βαθύτερο: η αυθεντικοποίηση γίνεται μέσα στην εφαρμογή. Αν η εφαρμογή έχει ευπάθεια, η αυθεντικοποίηση μπορεί να παρακαμφθεί. Η CVE-2026-25253 το απέδειξε ακριβώς. Το gateway token υπήρχε. Η ευπάθεια το εξήγαγε πριν η εφαρμογή καν προλάβει να το επαληθεύσει.

Γι’ αυτό δημιουργήσαμε το OpenClaw.rocks με αυθεντικοποίηση σε επίπεδο proxy. Οι παρακάτω ενότητες εξηγούν την αρχιτεκτονική λεπτομερώς. Αν θέλετε απλά ένα ασφαλές instance χωρίς να το φτιάξετε μόνοι σας, δείτε τα πλάνα μας.

Πώς ασφαλίζουμε το gateway

Στο OpenClaw.rocks, η αυθεντικοποίηση γίνεται σε επίπεδο proxy, πριν το αίτημα φτάσει ποτέ στο OpenClaw pod. Αυτή είναι μια δομική διαφορά, όχι απλά μια διαφορά διαμόρφωσης.

Ακολουθεί η αρχιτεκτονική τριών επιπέδων.

Επίπεδο 1: Υπογεγραμμένα gateway cookies (HMAC-SHA256)

Όταν αποκτάτε πρόσβαση στο instance σας του OpenClaw μέσω του πίνακα ελέγχου OpenClaw.rocks, ο server δημιουργεί ένα υπογεγραμμένο cookie. Η μορφή είναι:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Το cookie έχει TTL 4 ωρών και ανανεώνεται αυτόματα κάθε 45 λεπτά. Είναι περιορισμένο στη διαδρομή /gw/{instanceId}, οπότε ένα cookie δεν μπορεί να χρησιμοποιηθεί για πρόσβαση σε διαφορετικό instance. Είναι HttpOnly (η JavaScript δεν μπορεί να το διαβάσει), Secure (αποστέλλεται μόνο μέσω HTTPS) και SameSite=Lax (δεν αποστέλλεται σε αιτήματα cross-origin). Το HMAC επαληθεύεται με χρονικά ασφαλή σύγκριση για την αποτροπή επιθέσεων χρονισμού.

Ακόμη και αν κάποιος υποκλέψει την τιμή του cookie, δεν μπορεί να πλαστογραφήσει ένα νέο χωρίς το μυστικό υπογραφής. Και το ίδιο το cookie δεν περιέχει διαπιστευτήρια που παρέχουν απευθείας πρόσβαση στο OpenClaw.

Επίπεδο 2: Traefik ForwardAuth

Κάθε αίτημα σε ένα instance του OpenClaw περνά μέσω του Traefik, του reverse proxy μας. Πριν προωθήσει το αίτημα, το Traefik καλεί ένα auth-gate endpoint που επαληθεύει το υπογεγραμμένο cookie.

Αυτή είναι καθαρή επαλήθευση HMAC. Μηδέν κλήσεις βάσης δεδομένων. Μηδέν αιτήματα δικτύου προς Supabase ή οποιαδήποτε άλλη υπηρεσία. Η απόφαση λαμβάνεται σε μικροδευτερόλεπτα.

Αν το cookie είναι μη έγκυρο, ληγμένο ή απουσιάζει, το αίτημα απορρίπτεται σε επίπεδο proxy. Το αίτημα δεν φτάνει ποτέ στο OpenClaw. Αυτή είναι η βασική διαφορά. Σε μια τυπική εγκατάσταση, το ίδιο το OpenClaw πρέπει να αποφασίσει αν θα επιτρέψει ή θα απορρίψει ένα αίτημα. Αν το OpenClaw έχει ευπάθεια στη λογική αυθεντικοποίησης, ένας επιτιθέμενος μπορεί να περάσει. Στη δική μας εγκατάσταση, το OpenClaw δεν βλέπει ποτέ μη αυθεντικοποιημένη κίνηση.

Επίπεδο 3: Ένεση gateway token

Κάθε instance του OpenClaw έχει ένα ενσωματωμένο gateway token. Αυτό είναι το ίδιο token που θα ρυθμίζατε μόνοι σας αν κάνατε self-hosting. Η διαφορά είναι πώς φτάνει στο pod.

Σε μια τυπική εγκατάσταση self-hosting, επικολλάτε το token σε ένα αρχείο ρυθμίσεων, ίσως το αποθηκεύετε σε μια μεταβλητή περιβάλλοντος και ελπίζετε να μη διαρρεύσει ποτέ. Το πρόγραμμα περιήγησής σας πρέπει να το στέλνει με κάθε αίτημα, κάτι που είναι ακριβώς ο τρόπος με τον οποίο η CVE-2026-25253 το εξήγαγε.

Στη δική μας εγκατάσταση, ένα κρυπτογραφικά τυχαίο token 32 bytes δημιουργείται κατά τη δημιουργία του instance και αποθηκεύεται ως Kubernetes Secret. Το Traefik το εισάγει ως κεφαλίδα Authorization σε κάθε προωθημένο αίτημα. Το πρόγραμμα περιήγησης δεν το βλέπει ποτέ. Δεν εμφανίζεται ποτέ σε αρχείο ρυθμίσεων που θα μπορούσατε κατά λάθος να κάνετε commit. Δεν ταξιδεύει ποτέ μέσω WebSocket που μια κακόβουλη σελίδα μπορεί να υποκλέψει. Το token υπάρχει, αλλά ζει εξ ολοκλήρου μέσα στο cluster, κινούμενο μόνο μεταξύ Traefik και pod.

Γιατί αυτή η αρχιτεκτονική αποκλείει τη CVE-2026-25253

Η αλυσίδα επίθεσης CVE-2026-25253 εξάγει το gateway token μέσω WebSocket. Ας δούμε τι συμβαίνει όταν αυτή η επίθεση στοχεύει ένα instance του OpenClaw.rocks:

  1. Η JavaScript του επιτιθέμενου προσπαθεί να ανοίξει μια σύνδεση WebSocket προς το OpenClaw pod.
  2. Η σύνδεση χτυπά πρώτα στο Traefik. Το Traefik ελέγχει το υπογεγραμμένο cookie.
  3. Η κακόβουλη σελίδα βρίσκεται σε διαφορετικό origin. Το SameSite=Lax cookie δεν αποστέλλεται σε cross-origin WebSocket συνδέσεις. Το αίτημα απορρίπτεται.
  4. Ακόμη και αν το cookie κατά κάποιον τρόπο συνδεόταν, η σελίδα του επιτιθέμενου δεν μπορεί να το διαβάσει (HttpOnly). Δεν υπάρχει τίποτα προς εξαγωγή.
  5. Ακόμη και αν το cookie διέρρεε, δεν περιέχει το bearer token. Το bearer token εισάγεται από το Traefik και δεν εκτίθεται ποτέ στο πρόγραμμα περιήγησης. Ο επιτιθέμενος δεν μπορεί να το ανακατασκευάσει.

Δεν υπάρχει τίποτα να κλαπεί γιατί το πρόγραμμα περιήγησης δεν κατέχει ποτέ τα πραγματικά διαπιστευτήρια. Η επιφάνεια επίθεσης που εκμεταλλεύεται η CVE-2026-25253 απλά δεν υπάρχει.

Λίστα ελέγχου ασφαλείας OpenClaw για self-hosters

Δεν θέλουν όλοι διαχειριζόμενη φιλοξενία, και αυτό είναι εντάξει. Αν τρέχετε το δικό σας instance του OpenClaw, ακολουθεί μια πρακτική λίστα ελέγχου για το 2026.

Είναι ενεργοποιημένο το gateway auth token σας; Εκτελέστε openclaw doctor για έλεγχο. Αν η αυθεντικοποίηση gateway είναι απενεργοποιημένη, οποιοσδήποτε μπορεί να φτάσει στη θύρα 18789 ελέγχει τον agent σας και ό,τι έχει πρόσβαση.

Είναι το instance σας πίσω από reverse proxy με TLS; Απλό HTTP σημαίνει ότι οποιοσδήποτε στη διαδρομή δικτύου μπορεί να διαβάσει το gateway token σας κατά τη μεταφορά. Χρησιμοποιήστε nginx, Caddy ή Traefik με έγκυρο πιστοποιητικό TLS. Το Let’s Encrypt είναι δωρεάν.

Χρησιμοποιείτε την τελευταία έκδοση; Η CVE-2026-25253 διορθώθηκε στη v2026.1.29. Η CVE-2026-27001 διορθώθηκε στη v2026.2.15. Αν χρησιμοποιείτε παλαιότερη έκδοση, ενημερώστε τώρα. Ο οδηγός ενίσχυσης της Adversa AI καλύπτει επιπλέον βήματα.

Έχετε ελέγξει τα εγκατεστημένα skills σας; Η εκστρατεία ClawHavoc στόχευε συγκεκριμένα το ClawHub. Ελέγξτε κάθε skill που έχετε εγκαταστήσει. Αν δεν το εγκαταστήσατε εσείς, αφαιρέστε το και επαληθεύστε την πηγή.

Επικυρώνει ο reverse proxy σας τα WebSocket origins; Αυτό είναι το συγκεκριμένο διάνυσμα που εκμεταλλεύτηκε η CVE-2026-25253. Ο reverse proxy σας πρέπει να απορρίπτει αιτήματα αναβάθμισης WebSocket από μη αναμενόμενα origins. Η τεκμηρίωση ασφαλείας του OpenClaw έχει παραδείγματα διαμόρφωσης.

Η αυθεντικοποίησή σας γίνεται πριν ή μετά την άφιξη του αιτήματος στο OpenClaw; Αυτό είναι το ερώτημα που έχει τη μεγαλύτερη σημασία. Αν το OpenClaw χειρίζεται τη δική του αυθεντικοποίηση, μια ευπάθεια στο OpenClaw μπορεί να την παρακάμψει. Αν ο reverse proxy σας χειρίζεται την αυθεντικοποίηση, το αίτημα δεν φτάνει ποτέ στο OpenClaw εκτός αν έχει ήδη επαληθευτεί.

Τι δεν λύνουμε

Η ειλικρίνεια είναι σημαντική εδώ. Η αυθεντικοποίηση σε επίπεδο proxy λύνει την ασφάλεια του gateway. Δεν λύνει τα πάντα.

Η prompt injection είναι πρόβλημα επιπέδου εφαρμογής. Ένα έξυπνα κατασκευασμένο μήνυμα μπορεί ενδεχομένως να εξαπατήσει τον agent ώστε να εκτελέσει ανεπιθύμητες ενέργειες. Αυτό είναι ενεργό πεδίο έρευνας σε ολόκληρη τη βιομηχανία AI, και κανένας πάροχος φιλοξενίας δεν μπορεί να το αποτρέψει πλήρως σήμερα.

Η κακόβουλη συμπεριφορά skill εκτελείται μέσα στο πλαίσιο του agent. Αν εγκαταστήσετε ένα skill που εξάγει δεδομένα μέσω επιτρεπόμενης HTTPS εξόδου, η αυθεντικοποίηση proxy δεν μπορεί να το σταματήσει. Αυτό που κάνει η υποδομή μας είναι να περιορίζει την ακτίνα έκρηξης: κάθε instance τρέχει στο δικό του Kubernetes pod με απομόνωση δικτύου, αφαιρεμένες δυνατότητες, seccomp και σύστημα αρχείων root μόνο για ανάγνωση. Ένας παραβιασμένος agent δεν μπορεί να φτάσει άλλους agents ή το σύστημα host. Ο Kubernetes operator επιβάλλει αυτές τις προεπιλογές σε κάθε instance.

Η εμπιστοσύνη στον πάροχο LLM εξαρτάται από το πλάνο σας. Αν χρησιμοποιείτε τα δικά σας API κλειδιά (πλάνο Light), οι συνομιλίες σας περνούν από τον πάροχο που ρυθμίζετε, και ισχύει η πολιτική απορρήτου του. Στο πλάνο Pro, δρομολογούμε την κίνηση μέσω του δικού μας AI gateway με προρυθμισμένους παρόχους. Δεν χρειάζεται να δώσετε τα API κλειδιά σας σε ένα instance του OpenClaw ή να εμπιστευτείτε ότι ένα κλειδί τρίτου αποθηκεύεται με ασφάλεια. Το gateway διαχειρίζεται τα διαπιστευτήρια παρόχων για λογαριασμό σας, και δεν τα βλέπετε ή τα χειρίζεστε ποτέ απευθείας.

Η ασφάλεια είναι επίπεδα. Εμείς χειριζόμαστε τα επίπεδα υποδομής. Οι προκλήσεις επιπέδου εφαρμογής είναι πραγματικές και αξίζει να τις κατανοήσετε.

Η ασφάλεια είναι αρχιτεκτονική απόφαση

Η κρίση ασφαλείας του OpenClaw δεν αφορά ένα CVE ή μια παρτίδα κακόβουλων skills. Αφορά ένα εργαλείο σχεδιασμένο για localhost που αναπτύσσεται στο διαδίκτυο από εκατοντάδες χιλιάδες ανθρώπους, με αυθεντικοποίηση που γίνεται μέσα στην εφαρμογή που υποτίθεται ότι προστατεύει.

Η μετακίνηση της αυθεντικοποίησης στο επίπεδο proxy δεν είναι χαρακτηριστικό. Είναι αρχιτεκτονική απόφαση. Σημαίνει ότι όταν εμφανιστεί το επόμενο OpenClaw CVE (και θα εμφανιστεί), τα αυθεντικοποιημένα αιτήματα εξακολουθούν να επαληθεύονται πριν αγγίξουν την εφαρμογή. Η επιφάνεια επίθεσης είναι δομικά μικρότερη.

Πήραμε αυτή την απόφαση από την πρώτη ημέρα. Κάθε instance του OpenClaw.rocks τρέχει πίσω από υπογεγραμμένα cookies, επαλήθευση ForwardAuth και bearer tokens ανά instance. Κανένα gateway token στο πρόγραμμα περιήγησης. Κανένα στατικό διαπιστευτήριο προς εξαγωγή. Καμία λογική αυθεντικοποίησης μέσα στην ευάλωτη εφαρμογή.

Αν θέλετε να διαβάσετε περισσότερα για το πώς αναπτύσσουμε το OpenClaw σε Kubernetes με πλήρη ενίσχυση ασφαλείας, ο οδηγός ανάπτυξης το καλύπτει λεπτομερώς.

Αν απλά θέλετε έναν agent που λειτουργεί και παραμένει ασφαλής χωρίς να σκέφτεστε τίποτα από αυτά, αυτό ακριβώς φτιάξαμε.

Ξεκινήστε στο OpenClaw.rocks ή εξερευνήστε τον Kubernetes operator ανοιχτού κώδικα αν προτιμάτε να τρέχετε τη δική σας υποδομή.