Üle 135 000 OpenClaw’ eksemplari on internetis paljastatud. Kriitiline haavatavus võimaldab ühe klikiga kaugkoodi käivitamist mis tahes brauserist. Uurijad on leidnud üle 1100 pahatahtliku oskuse, mis levitavad ClawHub’is Atomic Stealerit. Microsoft avaldas blogipostituse pealkirjaga „Running OpenClaw Safely”, mis algab märkusega, et „enamiku keskkondade puhul võib sobiv otsus olla seda mitte juurutada.” Belgia riiklik küberturvakeskus andis välja valitsuse hoiatuse. Cisco nimetas isiklikke AI agente nagu OpenClaw „turvanõumaruseks.”

See ei ole hirmutamine. Need on faktid sõltumatutelt turvauurijatelt, ettevõtetelt tarnijatelt ja valitsusasutustelt. Kui Te käitate OpenClaw’ eksemplari, puudutab see Teid.

Mis läks valesti

OpenClaw oli kavandatud localhostitele. Paigaldate selle oma masinale, suhtlete kohaliku veebiliidese kaudu ja see täidab ülesandeid Teie nimel. Turvamudel eeldas, et isik, kes pääseb liidesele ligi, on isik, kes istub klaviatuuri taga.

Seejärel kasvas OpenClaw mõne nädala jooksul 9000-lt üle 200 000 GitHubi täheni. Inimesed juurutasid selle VPS-serveritele, paljastasid selle internetile ja ühendasid oma sõnumikanalitega. Localhosti eeldus lagunes mastaabis. (Käsitlesime juurutusvalikute kogu spektrit ja nende turvakompromisse eraldi juhendis.)

CVE-2026-25253: kaugkoodi käivitamine ühe klikiga

Kõige tõsisem haavatavus on CVE-2026-25253, CVSS skooriga 8.8. OpenClaw ei valideerinud WebSocketi päritolu päiseid. Nii rünnak toimib:

  1. Ohver külastab pahatahtlikku veebilehte (või lehte pahatahtliku reklaamiga).
  2. JavaScripti kood sellel lehel avab WebSocketi ühenduse aadressile localhost:18789, OpenClaw’ vaikeporti.
  3. Kuna brauser on samal masinal, möödub ühendus kõigist tulemüürireeglitest.
  4. Ründaja eksfiltrreerib lüüsi autentimistokeni WebSocketi kaudu.
  5. Tokeniga on ründajal täielik kontroll: kesta ligipääs, failide lugemine/kirjutamine ja käskude käivitamine.

Localhostitele sidumine ei aita. Rünnak kasutab pöördepunktina ohvri enda brauserit. SOCRadari analüüs käib läbi kogu ahela.

Pahatahtlikud oskused ja tarneahela ründed

Uurijad leidsid 341 pahatahtlikku oskust ClawHub’is veebruari alguses. See arv on sellest ajast kasvanud üle 1100-ni. ClawHavoci kampaania levitab Atomic Stealerit oskuste kaudu, mis näevad välja seaduslikud, kuid sisaldavad peidetud käskude käivitamise samme. Oskused on Markdowni failid. Peidetud juhis, mis ütleb „käivita see kestakäsk”, on lihtne sisse põimida ja raske märgata.

  1. veebruaril viis Cline’i tarneahela rünnak asja veelgi kaugemale. Kompromiteeritud npm tokenit kasutati Cline CLI versiooni avaldamiseks, mis vaikselt paigaldas OpenClaw’ arendajate masinatele. Rünnak oli suunatud ehitustoru enda vastu.

Uurijad on nüüd avalikustanud kuus täiendavat haavatavust OpenClaw’ tuumas, sealhulgas CVE-2026-27001. OWASP Top 10 agentsete rakenduste jaoks loetleb nüüd paljusid neist mustritest peamiste riskidena. Nagu Conscia analüüs seda sõnastab: tegemist on täiemahulise turvakriisiga.

Miks lüüsi token ei ole piisav

OpenClaw’ sisseehitatud autentimine on staatiline token. Seadistate selle ühe korra ja iga päring peab seda sisaldama. See on parem kui mitte midagi. Kuid sellel on põhimõttelised piirangud.

Staatilised tokenid ei aegu. Kui token lekib (CVE-2026-25253 kaudu, logide kaudu, pahatahtliku oskuse kaudu, mis loeb keskkonnamuutujaid), on ründajal püsiv ligipääs, kuni märkate ja käsitsi roteerite.

Staatilisi tokeneid ei saa ulatuses piirata. Lüüsi token annab täieliku ligipääsu. Puudub võimalus anda kellelegi ainult lugemisõigust või piirata, mida autenditud seanss teha saab.

Staatilisi tokeneid ei saa kasutajaga siduda. Kui kolm inimest jagavad tokenit, puudub auditijälg selle kohta, kes mida tegi.

Enamik VPS-juurutusjuhendeid soovitavad panna OpenClaw’ nginxi taha põhiautentimisega. See on parem, kuid siiski staatiline mandaat. Kui keegi selle kinni püüab (võrgupealtkuulamine krüpteerimata ühendusel, kompromiteeritud pöördpuhverserveri konfiguratsioon, lekkinud .htpasswd fail), on tal ligipääs.

Põhiprobleem on sügavam: autentimine toimub rakenduse sees. Kui rakendusel on haavatavus, saab autentimist mööduda. CVE-2026-25253 demonstreeris täpselt seda. Lüüsi token eksisteeris. Haavatavus ekstraheeris selle enne, kui rakendusel üldse oli võimalus seda kontrollida.

Seetõttu ehitasime OpenClaw.rocksi puhverserveri taseme autentimisega. Järgmised jaotised selgitavad arhitektuuri üksikasjalikult. Kui soovite lihtsalt turvalist eksemplari ilma seda kõike ise ehitamata, vaadake meie pakette.

Kuidas me lüüsi kaitseme

OpenClaw.rocksis toimub autentimine puhverserveri kihil, enne kui päring üldse jõuab OpenClaw’ podini. See on struktuurne erinevus, mitte lihtsalt konfiguratsioonialane.

Siin on kolmekihiline arhitektuur.

Kiht 1: Allkirjastatud lüüsi küpsised (HMAC-SHA256)

Kui pääsete oma OpenClaw’ eksemplarile ligi OpenClaw.rocksi armatuurlaua kaudu, genereerib server allkirjastatud küpsise. Formaat on:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Küpsisel on 4-tunnine TTL ja see uueneb automaatselt iga 45 minuti järel. See on teepiiratud aadressile /gw/{instanceId}, nii et ühte küpsist ei saa kasutada teisele eksemplarile ligipääsemiseks. See on HttpOnly (JavaScript ei saa seda lugeda), Secure (saadetakse ainult HTTPS kaudu) ja SameSite=Lax (ei saadeta ristallikupäringutega). HMAC-i kontrollitakse ajastamisturvalise võrdlusega ajastamisrünnete vältimiseks.

Isegi kui keegi küpsise väärtuse kinni püüab, ei saa ta uut võltsida ilma allkirjastamissaladuseta. Ja küpsis ise ei sisalda mandaate, mis annaksid otsese ligipääsu OpenClaw’le.

Kiht 2: Traefik ForwardAuth

Iga päring OpenClaw’ eksemplarile läbib Traefiku, meie pöördpuhverserveri. Enne päringu edastamist kutsub Traefik autentimislüüsi lõpp-punkti, mis kontrollib allkirjastatud küpsist.

See on puhas HMAC-verifitseerimine. Null andmebaasipäringut. Null võrgupäringuid Supabase’ile ega ühelegi teisele teenusele. Otsus tehakse mikrosekundites.

Kui küpsis on kehtetu, aegunud või puudub, lükatakse päring puhverserveri kihil tagasi. Päring ei jõua kunagi OpenClaw’ni. See on võtmeerinevus. Tüüpilises seadistuses peab OpenClaw ise otsustama, kas päring lubada või tagasi lükata. Kui OpenClaw’l on haavatavus oma autentimisloogikas, saab ründaja läbi lipsata. Meie seadistuses ei näe OpenClaw kunagi autentimata liiklust.

Kiht 3: Lüüsi tokeni süstimine

Igal OpenClaw’ eksemplaril on sisseehitatud lüüsi token. See on sama token, mille konfigureerisite ise, kui hostisite ise. Erinevus seisneb selles, kuidas see podini jõuab.

Tüüpilises ise hostimise seadistuses kleepite tokeni konfiguratsioonifaili, salvestate selle ehk keskkonnamuutujasse ja loodate, et see kunagi ei leki. Teie brauser peab seda iga päringuga saatma, mis on täpselt viis, kuidas CVE-2026-25253 selle ekstraheeris.

Meie seadistuses genereeritakse eksemplari loomisel krüptograafiliselt juhuslik 32-baidine token ja salvestatakse Kubernetes Secretina. Traefik süstib selle iga edastatud päringu Authorization päisena. Brauser ei näe seda kunagi. See ei ilmu kunagi konfiguratsioonifailis, mille võite kogemata commitida. See ei rända kunagi üle WebSocketi, mida pahatahtlik leht võiks kaaperdada. Token eksisteerib, kuid elab täielikult klastri sees, liikudes ainult Traefiku ja podi vahel.

Miks see arhitektuur blokeerib CVE-2026-25253

CVE-2026-25253 ründeahel eksfiltrrerib lüüsi tokeni WebSocketi kaudu. Vaatame, mis juhtub, kui see rünnak sihib OpenClaw.rocksi eksemplari:

  1. Ründaja JavaScript üritab avada WebSocketi OpenClaw’ podile.
  2. Ühendus jõuab kõigepealt Traefikuni. Traefik kontrollib allkirjastatud küpsist.
  3. Pahatahtlik leht on teisel allikal. SameSite=Lax küpsist ei saadeta ristallikuliste WebSocketi ühendustega. Päring lükatakse tagasi.
  4. Isegi kui küpsis oleks kuidagi lisatud, ei saa ründaja leht seda lugeda (HttpOnly). Pole midagi eksfiltreerida.
  5. Isegi kui küpsis lekiks, ei sisalda see kandjatokenit. Kandjatokeni süstib Traefik, seda ei paljastata kunagi brauserile. Ründaja ei saa seda rekonstrueerida.

Pole midagi varastada, sest brauser ei oma kunagi tõelisi mandaate. Ründepind, mida CVE-2026-25253 kasutab, lihtsalt ei eksisteeri.

OpenClaw’ turvakontrollnimekiri ise hostivatele

Kõik ei soovi hallatud hostingut ja see on täiesti korras. Kui käitate oma OpenClaw’ eksemplari, siin on praktiline kontrollnimekiri 2026. aastaks.

Kas Teie lüüsi autentimistoken on lubatud? Käivitage openclaw doctor kontrollimiseks. Kui lüüsi autentimine on keelatud, kontrollib iga isik, kes jõuab pordini 18789, Teie agenti ja kõike, millele sel on ligipääs.

Kas Teie eksemplar on pöördpuhverserveri taga TLS-iga? Krüpteerimata HTTP tähendab, et iga isik võrguteel saab lugeda Teie lüüsi tokenit transiidil. Kasutage nginxit, Caddyt või Traefikut kehtiva TLS-sertifikaadiga. Let’s Encrypt on tasuta.

Kas Teil on uusim versioon? CVE-2026-25253 parandati versioonis v2026.1.29. CVE-2026-27001 parandati versioonis v2026.2.15. Kui käitate vanemat versiooni, uuendage kohe. Adversa AI tugevdamisjuhend katab täiendavaid samme.

Kas olete auditeerinud oma paigaldatud oskusi? ClawHavoci kampaania oli suunatud konkreetselt ClawHubile. Kontrollige iga oskust, mille olete paigaldanud. Kui Te ei paigaldanud seda ise, eemaldage see ja kontrollige allikat.

Kas Teie pöördpuhverserver valideerib WebSocketi allikaid? See on konkreetne vektor, mida CVE-2026-25253 kasutas. Teie pöördpuhverserver peaks tagasi lükkama WebSocketi uuenduspäringuid ootamatutelt allikatelt. OpenClaw’ turvadokumentatsioon sisaldab konfiguratsiooni näiteid.

Kas Teie autentimine toimub enne või pärast päringu jõudmist OpenClaw’ni? See on kõige olulisem küsimus. Kui OpenClaw haldab oma autentimist, saab OpenClaw’ haavatavus sellest mööduda. Kui Teie pöördpuhverserver haldab autentimist, ei jõua päring kunagi OpenClaw’ni, kui see pole juba kontrollitud.

Mida me ei lahenda

Ausus on siin oluline. Puhverserveri taseme autentimine lahendab lüüsi turvalisuse. See ei lahenda kõike.

Viibapüüdmine on rakenduskihi probleem. Osavalt koostatud sõnum võib potentsiaalselt petta agenti sooritama soovitamatuid toiminguid. See on aktiivne uurimisvaldkond kogu AI-tööstuses ja ükski hostinguteenuse pakkuja ei suuda seda täna täielikult ära hoida.

Pahatahtlik oskuste käitumine käivitub agendi kontekstis. Kui paigaldate oskuse, mis eksfiltrreerib andmeid lubatud väljuva HTTPS-liikluse kaudu, ei saa puhverserveri autentimine seda peatada. Mida meie infrastruktuur teeb, on plahvatusraadiuse piiramine: iga eksemplar töötab oma Kubernetes podis võrgueralduse, vähendatud võimetega, seccompiga ja kirjutuskaitstud juurfailisüsteemiga. Kompromiteeritud agent ei pääse teistele agentidele ega hostsüsteemile ligi. Kubernetes operaator jõustab need vaikesätted iga eksemplari jaoks.

Usaldus LLM-teenusepakkuja vastu sõltub Teie paketist. Kui kasutate oma API-võtmeid (pakett Light), läbivad Teie vestlused teenusepakkuja, kelle konfigureerite, ja kehtib tema privaatsuspoliitika. Pro paketiga suuname liikluse läbi meie enda AI-lüüsi eelkonfigureeritud teenusepakkujatega. Te ei pea andma oma API-võtmeid OpenClaw’ eksemplarile ega usaldama, et kolmanda osapoole võti on turvaliselt salvestatud. Lüüs haldab teenusepakkujate mandaate Teie nimel ning Te ei näe ega käsitle neid kunagi otse.

Turvalisus töötab kihtides. Meie hoolitseme infrastruktuuri kihtide eest. Rakenduskihi väljakutsed on tõelised ja väärt mõistmist.

Turvalisus on arhitektuuriotsus

OpenClaw’ turvakriis ei ole ühe CVE ega ühe pahatahtlike oskuste partii küsimus. See on tööriist, mis on kavandatud localhostitele, mida internetis juurutavad sajad tuhanded inimesed, autentimisega, mis toimub rakenduse sees, mida see peaks kaitsma.

Autentimise teisaldamine puhverserveri kihile ei ole funktsioon. See on arhitektuuriotsus. See tähendab, et kui järgmine OpenClaw’ CVE avaldatakse (ja see avaldatakse), kontrollitakse autenditud päringuid endiselt enne, kui need puudutavad rakendust. Ründepind on struktuurselt väiksem.

Tegime selle otsuse esimesel päeval. Iga OpenClaw.rocksi eksemplar töötab allkirjastatud küpsiste, ForwardAuth verifitseerimise ja eksemplarikohalike kandjatokenite taga. Pole lüüsi tokeneid brauseris. Pole staatilisi mandaate eksfiltrreerimiseks. Pole autentimisloogikat haavatava rakenduse sees.

Kui soovite lugeda rohkem sellest, kuidas me juurutame OpenClaw’d Kubernetesis täieliku turvakarmistamisega, käsitleb juurutusjuhend seda üksikasjalikult.

Kui soovite lihtsalt töötavat agenti, mis jääb turvaliseks ilma mõtlemata sellele kõigele, just seda me ehitasimegi.

Alustage OpenClaw.rocksis või uurige avatud lähtekoodiga Kubernetes operaatorit, kui eelistate hallata oma infrastruktuuri.