Yli 135 000 OpenClaw-instanssia on paljaana internetissä. Kriittinen haavoittuvuus mahdollistaa yhden klikkauksen etäkoodin suorittamisen minkä tahansa selaimen kautta. Tutkijat ovat löytäneet yli 1 100 haitallista taitoa, jotka levittävät Atomic Stealeriä ClawHub-alustalla. Microsoft julkaisi blogikirjoituksen otsikolla “Running OpenClaw Safely”, joka alkaa toteamalla, että “useimmissa ympäristöissä oikea päätös saattaa olla olla ottamatta sitä käyttöön.” Belgian kansallinen kyberturvallisuuskeskus julkaisi viranomaiskattauksen. Cisco kutsui henkilökohtaisia AI-agentteja, kuten OpenClaw, “tietoturvapainajaisiseksi.”

Tämä ei ole pelottelua. Nämä ovat tosiasioita riippumattomilta tietoturvatutkijoilta, yritysten toimittajilta ja viranomaisilta. Jos käytät OpenClaw-instanssia, tämä koskee sinua.

Mikä meni pieleen

OpenClaw suunniteltiin localhost-käyttöön. Asennat sen koneellesi, keskustelet sen kanssa paikallisen verkkokäyttöliittymän kautta, ja se tekee asioita puolestasi. Tietoturvamalli oletti, että käyttöliittymää käyttävä henkilö on sama, joka istuu näppäimistön ääressä.

Sitten OpenClaw kasvoi 9 000:sta yli 200 000 GitHub-tähteen muutamassa viikossa. Ihmiset asensivat sen VPS-palvelimille, avasivat sen internetiin ja yhdistivät sen viestintäkanaviinsa. Localhost-oletus murtui mittakaavassa. (Käsittelimme kaikki käyttöönottovaihtoehdot ja niiden tietoturvakompromissit erillisessä oppaassa.)

CVE-2026-25253: yhden klikkauksen etäkoodin suoritus

Vakavin haavoittuvuus on CVE-2026-25253, CVSS-pisteet 8.8. OpenClaw ei validoinut WebSocket-alkuperäotsikoita. Näin hyökkäys toimii:

  1. Uhri vierailee haitallisella verkkosivulla (tai sivulla, jossa on haitallinen mainos).
  2. JavaScript sivulla avaa WebSocket-yhteyden osoitteeseen localhost:18789, OpenClaw:n oletusporttiin.
  3. Koska selain on samalla koneella, yhteys ohittaa palomuurisäännöt.
  4. Hyökkääjä varastaa yhdyskäytävän todennustunnuksen WebSocketin kautta.
  5. Tunnuksen avulla hyökkääjällä on täysi hallinta: komentotulkkipääsy, tiedostojen luku/kirjoitus ja komentojen suoritus.

Localhost-sidonta ei auta. Hyökkäys pivotoi uhrin oman selaimen kautta. SOCRadarin analyysi käy läpi koko ketjun.

Haitalliset taidot ja toimitusketjuhyökkäykset

Tutkijat löysivät 341 haitallista taitoa ClawHub-alustalta helmikuun alussa. Sen jälkeen määrä on kasvanut yli 1 100:aan. ClawHavoc-kampanja levittää Atomic Stealeriä taitojen kautta, jotka näyttävät laillisilta mutta sisältävät piilotettuja komentojen suoritusvaiheita. Taidot ovat Markdown-tiedostoja. Piilotetun ohjeen, joka sanoo “suorita tämä komentotulkkikomento”, on helppo upottaa ja vaikea huomata.

Helmikuun 17. päivänä Cline-toimitusketjuhyökkäys vei asiat pidemmälle. Vaarannetulla npm-tunnuksella julkaistiin Cline CLI -versio, joka äänettömästi asensi OpenClaw:n kehittäjien koneille. Hyökkäys kohdistui itse rakennusputkeen.

Tutkijat ovat nyt paljastaneet kuusi lisähaavoittuvuutta OpenClaw:n ytimessä, mukaan lukien CVE-2026-27001. OWASP Top 10 agenttisovelluksille listaa nyt monia näistä malleista kärkiriskeiksi. Kuten Conscian analyysi toteaa, kyseessä on täysimittainen tietoturvakriisi.

Miksi yhdyskäytävätunnus ei riitä

OpenClaw:n sisäänrakennettu todennus on staattinen tunnus. Asetat sen kerran, ja jokaisen pyynnön on sisällettävä se. Se on parempi kuin ei mitään. Mutta sillä on perustavanlaatuisia rajoituksia.

Staattiset tunnukset eivät vanhene. Jos tunnus vuotaa (CVE-2026-25253:n kautta, lokitiedostojen kautta, haitallisen taidon kautta, joka lukee ympäristömuuttujia), hyökkääjällä on pysyvä pääsy, kunnes huomaat ja vaihdat sen manuaalisesti.

Staattisia tunnuksia ei voi rajata. Yhdyskäytävätunnus antaa täyden pääsyn. Ei ole mahdollista antaa jollekulle vain lukuoikeutta tai rajoittaa, mitä todennettu istunto voi tehdä.

Staattisia tunnuksia ei voi sitoa käyttäjään. Jos kolme henkilöä jakaa tunnuksen, sinulla ei ole auditointijälkeä siitä, kuka teki mitäkin.

Useimmat VPS-käyttöönottooppaat neuvovat sijoittamaan OpenClaw:n nginx:n taakse perustodennuksella. Se on parempi, mutta silti staattinen tunniste. Jos joku kaappaa sen (verkkokuuntelu salaamattomalla yhteydellä, vaarannettu käänteisen välityspalvelimen konfiguraatio, vuotanut .htpasswd-tiedosto), hän on sisällä.

Perusongelma on syvempi: todennus tapahtuu sovelluksen sisällä. Jos sovelluksessa on haavoittuvuus, todennus voidaan ohittaa. CVE-2026-25253 osoitti tämän tarkasti. Yhdyskäytävätunnus oli olemassa. Haavoittuvuus kaappasi sen ennen kuin sovellus edes ehti todentaa sitä.

Siksi rakensimme OpenClaw.rocks -palvelun todennuksella välityspalvelintasolla. Seuraavat osiot selittävät arkkitehtuurin yksityiskohtaisesti. Jos haluat turvallisen instanssin rakentamatta sitä itse, katso suunnitelmamme.

Kuinka suojaamme yhdyskäytävän

OpenClaw.rocks-palvelussa todennus tapahtuu välityspalvelintasolla, ennen kuin pyyntö koskaan saavuttaa OpenClaw-podin. Tämä on rakenteellinen ero, ei vain konfiguraatioero.

Tässä on kolmitasoinen arkkitehtuuri.

Taso 1: Allekirjoitetut yhdyskäytäväevästeet (HMAC-SHA256)

Kun käytät OpenClaw-instanssiasi OpenClaw.rocks-hallintapaneelin kautta, palvelin luo allekirjoitetun evästeen. Muoto on:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Evästeellä on 4 tunnin voimassaoloaika ja se päivittyy automaattisesti 45 minuutin välein. Se on rajattu polkuun /gw/{instanceId}, joten yhtä evästettä ei voi käyttää toisen instanssin käyttämiseen. Se on HttpOnly (JavaScript ei voi lukea sitä), Secure (lähetetään vain HTTPS:n yli) ja SameSite=Lax (ei lähetetä ristikkäisalkuperäpyynnöissä). HMAC todennetaan ajoitusturvallisella vertailulla ajoitushyökkäysten estämiseksi.

Vaikka joku sieppaisi evästeen arvon, hän ei voi luoda uutta ilman allekirjoitussalaisuutta. Ja eväste itsessään ei sisällä tunnistetietoja, jotka antaisivat suoran pääsyn OpenClaw:iin.

Taso 2: Traefik ForwardAuth

Jokainen pyyntö OpenClaw-instanssiin kulkee Traefik-käänteisen välityspalvelimen kautta. Ennen pyynnön välittämistä Traefik kutsuu auth-gate-päätepistettä, joka todentaa allekirjoitetun evästeen.

Tämä on puhdasta HMAC-todennusta. Nolla tietokantakutsuja. Nolla verkkopyyntöjä Supabaseen tai mihinkään muuhun palveluun. Päätös tehdään mikrosekunteissa.

Jos eväste on virheellinen, vanhentunut tai puuttuu, pyyntö hylätään välityspalvelintasolla. Pyyntö ei koskaan saavuta OpenClaw:ia. Tämä on avainero. Tyypillisessä kokoonpanossa OpenClaw:n itsensä täytyy päättää, sallitaanko vai hylätäänkö pyyntö. Jos OpenClaw:ssa on haavoittuvuus todennuslogiikassa, hyökkääjä voi livahtaa läpi. Meidän kokoonpanossamme OpenClaw ei koskaan näe todentamatonta liikennettä.

Taso 3: Yhdyskäytävätunnuksen injektointi

Jokaisella OpenClaw-instanssilla on sisäänrakennettu yhdyskäytävätunnus. Se on sama tunnus, jonka konfiguroisit itse, jos ylläpitäisit itse. Ero on siinä, miten se päätyy podiin.

Tyypillisessä itseylläpitokokoonpanossa liität tunnuksen konfiguraatiotiedostoon, ehkä tallennat sen ympäristömuuttujaan ja toivot, ettei se koskaan vuoda. Selaimesi täytyy lähettää se jokaisessa pyynnössä, mikä on juuri se tapa, jolla CVE-2026-25253 kaappasi sen.

Meidän kokoonpanossamme kryptografisesti satunnainen 32 tavun tunnus luodaan instanssin luomishetkellä ja tallennetaan Kubernetes Secretiksi. Traefik injektoi sen Authorization-otsikkona jokaisessa välitetyssä pyynnössä. Selain ei koskaan näe sitä. Se ei koskaan näy konfiguraatiotiedostossa, jonka voisit vahingossa commitoida. Se ei koskaan kulje WebSocketin kautta, jonka haitallinen sivu voisi kaapata. Tunnus on olemassa, mutta se elää kokonaan klusterin sisällä, liikkuen vain Traefikin ja podin välillä.

Miksi tämä arkkitehtuuri estää CVE-2026-25253:n

CVE-2026-25253-hyökkäysketju kaappaa yhdyskäytävätunnuksen WebSocketin kautta. Käydään läpi, mitä tapahtuu, kun tämä hyökkäys kohdistuu OpenClaw.rocks-instanssiin:

  1. Hyökkääjän JavaScript yrittää avata WebSocket-yhteyden OpenClaw-podiin.
  2. Yhteys osuu ensin Traefikiin. Traefik tarkistaa allekirjoitetun evästeen.
  3. Haitallinen sivu on eri alkuperässä. SameSite=Lax-evästettä ei lähetetä ristikkäisalkuperäisissä WebSocket-yhteyksissä. Pyyntö hylätään.
  4. Vaikka eväste jotenkin liitettäisiin, hyökkääjän sivu ei voi lukea sitä (HttpOnly). Ei ole mitään kaapattavaa.
  5. Vaikka eväste vuotaisi, se ei sisällä bearer-tunnusta. Bearer-tunnuksen injektoi Traefik, eikä sitä koskaan paljasteta selaimelle. Hyökkääjä ei voi rekonstruoida sitä.

Ei ole mitään varastettavaa, koska selain ei koskaan pidä hallussaan todellisia tunnistetietoja. Hyökkäyspinta, jota CVE-2026-25253 hyödyntää, ei yksinkertaisesti ole olemassa.

OpenClaw-tietoturvan tarkistuslista itseylläpitäjille

Kaikki eivät halua hallittua ylläpitoa, ja se on ihan hyvä. Jos käytät omaa OpenClaw-instanssia, tässä on käytännöllinen tarkistuslista vuodelle 2026.

Onko yhdyskäytävän todennustunnus käytössä? Suorita openclaw doctor tarkistaaksesi. Jos yhdyskäytävän todennus on pois käytöstä, kuka tahansa, joka pääsee porttiin 18789, hallitsee agenttiasi ja kaikkea, mihin sillä on pääsy.

Onko instanssisi käänteisen välityspalvelimen takana TLS:llä? Pelkkä HTTP tarkoittaa, että kuka tahansa verkkopolulla voi lukea yhdyskäytävätunnuksesi siirron aikana. Käytä nginx:iä, Caddya tai Traefikia voimassa olevalla TLS-sertifikaatilla. Let’s Encrypt on ilmainen.

Käytätkö uusinta versiota? CVE-2026-25253 korjattiin versiossa v2026.1.29. CVE-2026-27001 korjattiin versiossa v2026.2.15. Jos käytät vanhempaa versiota, päivitä nyt. Adversa AI:n koventamisopas kattaa lisävaiheet.

Oletko tarkistanut asennetut taitosi? ClawHavoc-kampanja kohdistui nimenomaan ClawHub-alustaan. Tarkista jokainen asentamasi taito. Jos et asentanut sitä itse, poista se ja varmista lähde.

Validoiko käänteinen välityspalvelimesi WebSocket-alkuperät? Tämä on juuri se vektori, jota CVE-2026-25253 hyödynsi. Käänteisen välityspalvelimesi tulisi hylätä WebSocket-päivityspyynnöt odottamattomista alkuperistä. OpenClaw:n tietoturvadokumentaatiossa on konfiguraatioesimerkkejä.

Tapahtuuko todennuksesi ennen vai jälkeen pyynnön saapumista OpenClaw:iin? Tämä on tärkein kysymys. Jos OpenClaw käsittelee oman todennuksensa, OpenClaw:n haavoittuvuus voi ohittaa sen. Jos käänteinen välityspalvelimesi käsittelee todennuksen, pyyntö ei koskaan saavuta OpenClaw:ia, ellei se ole jo todennettu.

Mitä emme ratkaise

Rehellisyys on tärkeää. Välityspalvelintason todennus ratkaisee yhdyskäytävän tietoturvan. Se ei ratkaise kaikkea.

Kehotusinjektio on sovellustason ongelma. Taitavasti muotoiltu viesti voi mahdollisesti huijata agentin tekemään tahattomia toimia. Tämä on aktiivinen tutkimusalue koko AI-teollisuudessa, eikä mikään ylläpitotarjoaja voi täysin estää sitä tänään.

Haitallisen taidon käyttäytyminen tapahtuu agentin kontekstissa. Jos asennat taidon, joka varastaa tietoja sallitun HTTPS-ulosmenon kautta, välityspalvelintodennus ei voi estää sitä. Infrastruktuurimme rajoittaa räjähdyssädettä: jokainen instanssi toimii omassa Kubernetes-podissaan verkkoeristetysti, poistetuilla kyvyillä, seccomp-profiililla ja vain luku -juuritiedostojärjestelmällä. Vaarantunut agentti ei voi tavoittaa muita agentteja tai isäntäjärjestelmää. Kubernetes-operaattori pakottaa nämä oletusasetukset jokaiselle instanssille.

LLM-tarjoajan luottamus riippuu suunnitelmastasi. Jos käytät omia API-avaimiasi (Light-suunnitelma), keskustelusi kulkevat sen tarjoajan kautta, jonka määrität, ja heidän tietosuojakäytäntönsä pätee. Pro-suunnitelmassa reititetämme liikenteen oman AI-yhdyskäytävämme kautta esikonfiguroiduilla tarjoajilla. Sinun ei tarvitse antaa API-avaimiasi OpenClaw-instanssille tai luottaa siihen, että kolmannen osapuolen avain on tallennettu turvallisesti. Yhdyskäytävä hallinnoi tarjoajien tunnistetietoja puolestasi, etkä koskaan näe tai käsittele niitä suoraan.

Tietoturva on kerroksia. Me hoidamme infrastruktuurikerrokset. Sovellustason haasteet ovat todellisia ja ymmärtämisen arvoisia.

Tietoturva on arkkitehtuuripäätös

OpenClaw-tietoturvakriisi ei ole yhdestä CVE:stä tai yhdestä haitallisten taitojen erästä. Se on työkalusta, joka suunniteltiin localhost-käyttöön, jonka sadat tuhannet ihmiset ottavat käyttöön internetissä, todennuksella, joka tapahtuu sen sovelluksen sisällä, jota sen pitäisi suojata.

Todennuksen siirtäminen välityspalvelintasolle ei ole ominaisuus. Se on arkkitehtuuripäätös. Se tarkoittaa, että kun seuraava OpenClaw CVE ilmestyy (ja se ilmestyy), todennetut pyynnöt tarkistetaan silti ennen kuin ne koskettavat sovellusta. Hyökkäyspinta on rakenteellisesti pienempi.

Teimme tämän päätöksen ensimmäisestä päivästä lähtien. Jokainen OpenClaw.rocks-instanssi toimii allekirjoitettujen evästeiden, ForwardAuth-todennuksen ja instanssikohtaisten bearer-tunnusten takana. Ei yhdyskäytävätunnuksia selaimessa. Ei staattisia tunnistetietoja kaapattavaksi. Ei todennuslogiikkaa haavoittuvassa sovelluksessa.

Jos haluat lukea lisää siitä, miten otamme OpenClaw:n käyttöön Kubernetes-alustalla täydellä tietoturvakovennuksella, käyttöönotto-opas kattaa sen yksityiskohtaisesti.

Jos haluat vain toimivan agentin, joka pysyy turvallisena ilman tästä kaikesta huolehtimista, juuri sen me rakensimme.

Aloita OpenClaw.rocks-palvelussa tai tutustu avoimen lähdekoodin Kubernetes-operaattoriin, jos haluat ylläpitää omaa infrastruktuuriasi.