Yfir 135.000 OpenClaw-tilvik eru óvarin á internetinu. Alvarlegur veikleiki gerir kleift að keyra kóða fjarstýrt með einum smell í gegnum hvaða vafra sem er. Rannsakendur hafa fundið yfir 1.100 skaðleg hæfni sem dreifa Atomic Stealer á ClawHub. Microsoft birti bloggfærslu undir titlinum “Running OpenClaw Safely” sem hefst á þeirri athugasemd að “fyrir flest umhverfi gæti viðeigandi ákvörðun verið að nota það ekki.” Belgísk netöryggismiðstöð gaf út ráðleggingu stjórnvalda. Cisco kallaði persónulega AI-umboðsmenn eins og OpenClaw “öryggismartröð.”

Þetta er ekki óttaáróður. Þetta eru staðreyndir frá óháðum öryggisrannsakendum, fyrirtækjabirgjum og ríkisstofnunum. Ef þú keyrir OpenClaw-tilvik, þá varðar þetta þig.

Hvað fór úrskeiðis

OpenClaw var hannað fyrir localhost. Þú setur það upp á tölvunni þinni, talar við það í gegnum staðbundið vefviðmót og það framkvæmir aðgerðir fyrir þína hönd. Öryggislíkanið gerði ráð fyrir að sá sem notaði viðmótið væri sá sem sat við lyklaborðið.

Síðan fór OpenClaw úr 9.000 í yfir 200.000 GitHub-stjörnur á aðeins nokkrum vikum. Fólk setti það upp á VPS-vélum, opnaði það fyrir internetinu og tengdi við skilaboðarásir sínar. Localhost-forsendan brast í stórum stíl. (Við fórum yfir allt svið uppsetningarvalkosta og öryggisígildi þeirra í sérstökum leiðbeiningum.)

CVE-2026-25253: fjarstýring kóða með einum smell

Alvarlegasti veikleikinn er CVE-2026-25253, metinn CVSS 8.8. OpenClaw staðfesti ekki WebSocket origin-hausa. Svona virkar árásin:

  1. Fórnarlambið heimsækir skaðlega vefsíðu (eða síðu með skaðlegri auglýsingu).
  2. JavaScript á þeirri síðu opnar WebSocket-tengingu við localhost:18789, sjálfgefin OpenClaw-gátt.
  3. Vegna þess að vafrinn er á sömu vél, fer tengingin framhjá öllum eldveggsreglum.
  4. Árásarmaðurinn dregur gateway-auðkenningartókann út í gegnum WebSocket.
  5. Með tókanum hefur árásarmaðurinn fulla stjórn: skelaðgang, lestrar-/skrifaðgang að skrám og keyrslumöguleika skipana.

Að binda við localhost hjálpar ekki. Árásin beinist í gegnum eigin vafra fórnarlambsins. Greining SOCRadar fer í gegnum alla keðjuna.

Skaðleg hæfni og birgðakeðjuárásir

Rannsakendur fundu 341 skaðlega hæfni á ClawHub í byrjun febrúar. Sú tala hefur síðan vaxið í yfir 1.100. ClawHavoc-herferðin dreifir Atomic Stealer í gegnum hæfni sem lítur lögmæt út en inniheldur falin skref til að keyra skipanir. Hæfni eru Markdown-skrár. Falin fyrirmæli sem segja “keyrðu þessa skelskipun” er auðvelt að fela og erfitt að uppgötva.

Þann 17. febrúar tók Cline birgðakeðjuárásin hlutina lengra. Komprómitteraður npm-tóki var notaður til að gefa út útgáfu af Cline CLI sem hljóðlega setti upp OpenClaw á vélum þróunaraðila. Árásin beindist að smíðaferlinu sjálfu.

Rannsakendur hafa nú birt sex veikleika til viðbótar í kjarna OpenClaw, þar á meðal CVE-2026-27001. OWASP Top 10 fyrir umboðsforrit skráir nú mörg þessara mynstra sem helstu áhættur. Eins og greining Conscia orðar það, þetta er fullkomin öryggiskreppa.

Hvers vegna gateway-tóki dugar ekki

Innbyggð auðkenning OpenClaw er statískur tóki. Þú stillir hann einu sinni og hver beiðni verður að innihalda hann. Það er betra en ekkert. En hann hefur grundvallartakmarkanir.

Statískir tókar renna ekki út. Ef tóki lekur (í gegnum CVE-2026-25253, í gegnum annála, í gegnum skaðlega hæfni sem les umhverfisbreytur) hefur árásarmaðurinn varanlegan aðgang þar til þú tekur eftir og skiptir honum handvirkt.

Statíska tóka er ekki hægt að afmarka. Gateway-tókinn veitir fullan aðgang. Það er engin leið til að veita einhverjum lesaðgang eingöngu eða takmarka hvað auðkennd lota getur gert.

Statíska tóka er ekki hægt að tengja notanda. Ef þrír einstaklingar deila tóka hefur þú enga endurskoðunarslóð um hver gerði hvað.

Flestar VPS-uppsetningarleiðbeiningar mæla með því að setja OpenClaw á bak við nginx með grunnauðkenningu. Það er betra, en enn statískt auðkenni. Ef einhver grípur það (nethlustun á ódulkóðaðri tengingu, komprómetteraður reverse proxy-stillingar, leki .htpasswd-skrá) er hann inni.

Grundvallavandamálið er dýpra: auðkenning á sér stað inni í forritinu. Ef forritið hefur veikleika er hægt að fara framhjá auðkenningu. CVE-2026-25253 sýndi þetta nákvæmlega. Gateway-tókinn var til. Veikleikinn dró hann út áður en forritið fékk tækifæri til að staðfesta hann.

Þess vegna byggðum við OpenClaw.rocks með auðkenningu á proxy-stigi. Kaflarnir hér að neðan útskýra arkitektúrinn í smáatriðum. Ef þú vilt bara öruggt tilvik án þess að byggja þetta sjálf/ur, sjá áætlanir okkar.

Hvernig við tryggum gáttina

Hjá OpenClaw.rocks fer auðkenning fram á proxy-stigi, áður en beiðnin nær nokkru sinni til OpenClaw pod-sins. Þetta er skipulagslegur munur, ekki bara stillingarmunur.

Hér er þriggja laga arkitektúrinn.

Lag 1: Undirrituð gateway-vafrakökur (HMAC-SHA256)

Þegar þú opnar OpenClaw-tilvikið þitt í gegnum OpenClaw.rocks-stjórnborðið býr þjónninn til undirritaða vafrakökur. Sniðið er:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Vafrakakan hefur 4 stunda TTL og endurnýjast sjálfkrafa á 45 mínútna fresti. Hún er afmörkuð við slóðina /gw/{instanceId}, þannig að ein vafrakaka getur ekki verið notuð til að fá aðgang að öðru tilviki. Hún er HttpOnly (JavaScript getur ekki lesið hana), Secure (aðeins send yfir HTTPS) og SameSite=Lax (ekki send á krossuppruna beiðnum). HMAC er staðfest með tímaöruggum samanburði til að koma í veg fyrir tímaárásir.

Jafnvel þótt einhver grípi gildi vafrakökurinnar getur hann ekki falsað nýja án undirritunnarleyndarmálsins. Og vafrakakan sjálf inniheldur engin auðkenni sem veita beinan aðgang að OpenClaw.

Lag 2: Traefik ForwardAuth

Sérhver beiðni til OpenClaw-tilviks fer í gegnum Traefik, reverse proxy okkar. Áður en beiðnin er áframsend kallar Traefik á auth-gate endapunkt sem staðfestir undirritaðar vafrakökur.

Þetta er hrein HMAC-staðfesting. Engin gagnagrunnsskall. Engar netbeiðnir til Supabase eða annarrar þjónustu. Ákvörðunin er tekin á örsekúndum.

Ef vafrakakan er ógild, útrunnin eða vantar er beiðnin hafnað á proxy-stigi. Beiðnin nær aldrei til OpenClaw. Þetta er lykilmunurinn. Í dæmigerðri uppsetningu þarf OpenClaw sjálft að ákveða hvort leyfa eigi eða hafna beiðni. Ef OpenClaw hefur veikleika í auðkenningarrökfræði sinni getur árásarmaður smogið í gegn. Í okkar uppsetningu sér OpenClaw aldrei óauðkennda umferð.

Lag 3: Gateway-tókainnsprautun

Sérhvert OpenClaw-tilvik er með innbyggðan gateway-tóka. Þetta er sami tókinn og þú myndir stilla sjálf/ur ef þú sjálfshýstir. Munurinn er hvernig hann kemst til pod-sins.

Í dæmigerðri sjálfshýsingaruppsetningu límir þú tókann í stillingarskrá, geymir hann kannski í umhverfisbreytu og vonast til að hann leki aldrei. Vafrinn þinn þarf að senda hann með hverri beiðni, sem er nákvæmlega hvernig CVE-2026-25253 dró hann út.

Í okkar uppsetningu er dulritunarlega handahófskenndur 32 bæta tóki búinn til við stofnun tilviks og geymdur sem Kubernetes Secret. Traefik sprautar honum inn sem Authorization-haus á hverri áframsendri beiðni. Vafrinn sér hann aldrei. Hann birtist aldrei í stillingarskrá sem þú gætir óvart sent inn. Hann fer aldrei yfir WebSocket sem skaðleg síða gæti ráðist á. Tókinn er til, en hann býr alfarið inni í klasanum, hreyfist aðeins milli Traefik og pod-sins.

Hvers vegna þessi arkitektúr lokar á CVE-2026-25253

CVE-2026-25253-árásarkeðjan dregur gateway-tókann út í gegnum WebSocket. Við skulum fara yfir hvað gerist þegar sú árás beinist að OpenClaw.rocks-tilviki:

  1. JavaScript árásarmannsins reynir að opna WebSocket-tengingu við OpenClaw pod-ið.
  2. Tengingin lendir fyrst hjá Traefik. Traefik athugar undirritaðar vafrakökur.
  3. Skaðlega síðan er á öðrum uppruna. SameSite=Lax vafrakakan er ekki send á krossuppruna WebSocket-tengingum. Beiðninni er hafnað.
  4. Jafnvel þótt vafrakakan væri á einhvern hátt tengd getur síða árásarmannsins ekki lesið hana (HttpOnly). Ekkert er til að draga út.
  5. Jafnvel þótt vafrakakan leki inniheldur hún ekki bearer-tókann. Bearer-tókinn er sprautaður inn af Traefik og er aldrei afhjúpaður fyrir vafranum. Árásarmaðurinn getur ekki endurgert hann.

Ekkert er til að stela vegna þess að vafrinn geymir aldrei raunveruleg auðkenni. Árásarfletið sem CVE-2026-25253 nýtir sér er einfaldlega ekki til.

OpenClaw öryggiseftirlitslisti fyrir sjálfshýsendur

Ekki allir vilja stýrða hýsingu og það er í lagi. Ef þú keyrir eigið OpenClaw-tilvik, hér er hagnýtur eftirlitslisti fyrir 2026.

Er gateway-auðkenningartókinn þinn virkur? Keyrðu openclaw doctor til að athuga. Ef gateway-auðkenning er óvirk stjórnar hver sá sem getur náð til gáttar 18789 umboðsmanni þínum og öllu sem hann hefur aðgang að.

Er tilvikið þitt á bak við reverse proxy með TLS? Venjulegt HTTP þýðir að hver sem er á netslóðinni getur lesið gateway-tókann þinn í flutningi. Notaðu nginx, Caddy eða Traefik með gilt TLS-vottorð. Let’s Encrypt er ókeypis.

Ert þú á nýjustu útgáfunni? CVE-2026-25253 var lagfærð í v2026.1.29. CVE-2026-27001 var lagfærð í v2026.2.15. Ef þú keyrir eldri útgáfu, uppfærðu núna. Herðingarleiðbeiningar Adversa AI ná yfir viðbótarskref.

Hefur þú kannað uppsettar hæfni þínar? ClawHavoc-herferðin beindist sérstaklega að ClawHub. Kannaðu hverja hæfni sem þú hefur sett upp. Ef þú settir hana ekki upp sjálf/ur, fjarlægðu hana og staðfestu upprunann.

Staðfestir reverse proxy þinn WebSocket-uppruna? Þetta er sértæki vigurinn sem CVE-2026-25253 nýtti sér. Reverse proxy þinn ætti að hafna WebSocket-uppfærslubeiðnum frá óvæntum uppruna. Öryggisleiðbeiningar OpenClaw hafa stillingardæmi.

Fer auðkenningin þín fram fyrir eða eftir að beiðnin nær til OpenClaw? Þetta er spurningin sem skiptir mestu máli. Ef OpenClaw sér um eigin auðkenningu getur veikleiki í OpenClaw farið framhjá henni. Ef reverse proxy þinn sér um auðkenningu nær beiðnin aldrei til OpenClaw nema hún sé þegar staðfest.

Hvað við leysum ekki

Heiðarleiki skiptir máli hér. Auðkenning á proxy-stigi leysir gateway-öryggi. Hún leysir ekki allt.

Kvaðningsinnspýting er vandamál á forritastigi. Snjallt orðuð skilaboð geta hugsanlega tælt umboðsmanninn til að framkvæma óviljandi aðgerðir. Þetta er virkt rannsóknarsvæði í allri AI-iðnaðinum og enginn hýsingaraðili getur komið alveg í veg fyrir það í dag.

Skaðleg hegðun hæfni keyrist í samhengi umboðsmannsins. Ef þú setur upp hæfni sem dregur gögn út í gegnum leyfilega HTTPS-útgöngu getur proxy-auðkenning ekki stöðvað það. Það sem innviðir okkar gera er að takmarka sprengimörkin: hvert tilvik keyrist í eigin Kubernetes pod með neteinangrun, fallnum getu, seccomp og lesaðgang-eingöngu rótarskráakerfi. Komprómitteraður umboðsmaður getur ekki náð til annarra umboðsmanna eða hýsingarkerfisins. Kubernetes-stjórnandinn framfylgir þessum sjálfgildum fyrir hvert tilvik.

Traust á LLM-veitanda fer eftir áætlun þinni. Ef þú notar eigin API-lykla (Light-áætlun) fara samtöl þín í gegnum þann veitanda sem þú stillir og persónuverndarstefna hans gildir. Á Pro-áætluninni beinir okkar eigin AI-gátt umferð með forstilltum veitendum. Þú þarft ekki að afhenda API-lyklana þína OpenClaw-tilviki eða treysta því að lykill þriðja aðila sé geymdur á öruggan hátt. Gáttin heldur utan um auðkenni veitenda fyrir þína hönd og þú sérð þau aldrei eða meðhöndlar þau beint.

Öryggi er lög. Við sjáum um innviðalögin. Áskoranir á forritastigi eru raunverulegar og þess virði að skilja.

Öryggi er arkitektúrákvörðun

Öryggiskreppan hjá OpenClaw snýst ekki um eitt CVE eða eina lotu skaðlegra hæfna. Hún snýst um tól hannað fyrir localhost sem hundruð þúsunda fólks nota á internetinu, með auðkenningu sem á sér stað inni í forritinu sem hún á að vernda.

Að færa auðkenningu á proxy-stig er ekki eiginleiki. Það er arkitektúrákvörðun. Það þýðir að þegar næsta OpenClaw CVE birtist (og það mun gerast) eru auðkenndar beiðnir enn staðfestar áður en þær snerta forritið. Árásarfletið er skipulagslega minna.

Við tókum þessa ákvörðun frá fyrsta degi. Sérhvert OpenClaw.rocks-tilvik keyrist á bak við undirritaðar vafrakökur, ForwardAuth-staðfestingu og bearer-tóka fyrir hvert tilvik. Engir gateway-tókar í vafranum. Engin statísk auðkenni til að draga út. Engin auðkenningarrökfræði inni í viðkvæma forritinu.

Ef þú vilt lesa meira um hvernig við setjum upp OpenClaw á Kubernetes með fullri öryggisherðingu, þá nær uppsetningarleiðbeiningin yfir það í smáatriðum.

Ef þú vilt bara virkan umboðsmann sem helst öruggur án þess að hugsa um neitt af þessu, þá er það nákvæmlega það sem við byggðum.

Byrjaðu á OpenClaw.rocks eða skoðaðu opinn hugbúnaður Kubernetes-stjórnandann ef þú kýst að reka eigin innviði.