Daugiau nei 135 000 OpenClaw egzempliorių yra atviri internete. Kritinė pažeidžiamumas leidžia vienu paspaudimu nuotolinį kodo vykdymą per bet kurią naršyklę. Tyrėjai aptiko daugiau nei 1 100 kenkėjiškų įgūdžių, platinančių Atomic Stealer per ClawHub. Microsoft paskelbė tinklaraščio įrašą pavadinimu “Running OpenClaw Safely”, kuris prasideda pastaba, kad “daugumai aplinkų tinkamas sprendimas gali būti jo nediegti.” Belgijos nacionalinis kibernetinio saugumo centras paskelbė vyriausybinį įspėjimą. Cisco pavadino asmeninius AI agentus, tokius kaip OpenClaw, “saugumo košmaru.”

Tai nėra bauginimai. Tai faktai iš nepriklausomų saugumo tyrėjų, įmonių tiekėjų ir vyriausybinių agentūrų. Jei naudojate OpenClaw egzempliorių, tai jums svarbu.

Kas nutiko

OpenClaw buvo sukurtas localhost aplinkai. Jūs jį įdiegiate savo kompiuteryje, bendraujate su juo per vietinę žiniatinklio sąsają, ir jis atlieka veiksmus jūsų vardu. Saugumo modelis prielaida, kad asmuo, pasiekiantis sąsają, yra asmuo, sėdintis prie klaviatūros.

Tada OpenClaw per kelias savaites išaugo nuo 9 000 iki daugiau nei 200 000 GitHub žvaigždučių. Žmonės jį diegė VPS serveriuose, atidarė internetui ir prijungė prie savo žinučių kanalų. Localhost prielaida sugriuvo dideliu mastu. (Mes apžvelgėme visą diegimo variantų spektrą ir jų saugumo kompromisus atskirame vadove.)

CVE-2026-25253: vieno paspaudimo nuotolinis kodo vykdymas

Rimčiausias pažeidžiamumas yra CVE-2026-25253, įvertintas CVSS 8.8 balu. OpenClaw netikrino WebSocket kilmės antraščių. Štai kaip ataka veikia:

  1. Auka aplanko kenkėjišką tinklalapį (arba tinklalapį su kenkėjiška reklama).
  2. JavaScript tame tinklalapyje atidaro WebSocket ryšį su localhost:18789, numatytuoju OpenClaw prievadu.
  3. Kadangi naršyklė yra tame pačiame kompiuteryje, ryšys apeina bet kurias užkardos taisykles.
  4. Užpuolikas per WebSocket išgauna šliuzo autentifikacijos žetoną.
  5. Su žetonu užpuolikas turi pilną kontrolę: apvalkalo prieigą, failų skaitymą/rašymą ir komandų vykdymą.

Prisirišimas prie localhost nepadeda. Ataka pivotavo per pačios aukos naršyklę. SOCRadar analizė išnagrinėja visą grandinę.

Kenkėjiški įgūdžiai ir tiekimo grandinės atakos

Tyrėjai rado 341 kenkėjišką įgūdį ClawHub platformoje vasario pradžioje. Nuo tada šis skaičius išaugo iki daugiau nei 1 100. ClawHavoc kampanija platina Atomic Stealer per įgūdžius, kurie atrodo teisėti, bet turi paslėptus komandų vykdymo žingsnius. Įgūdžiai yra Markdown failai. Paslėptą instrukciją, sakančią “vykdyk šią apvalkalo komandą”, lengva įterpti ir sunku pastebėti.

Vasario 17 d. Cline tiekimo grandinės ataka pakėlė viską į naują lygmenį. Kompromituotas npm žetonas buvo panaudotas paskelbti Cline CLI versiją, kuri tyliai įdiegė OpenClaw kūrėjų kompiuteriuose. Ataka buvo nukreipta į patį kūrimo vamzdyną.

Tyrėjai dabar atskleidė šešis papildomus pažeidžiamumus OpenClaw branduolyje, įskaitant CVE-2026-27001. OWASP Top 10 agentinėms programoms dabar daugelį šių modelių nurodo kaip pagrindines rizikas. Kaip Conscia analizė tai apibūdina, tai yra visiška saugumo krizė.

Kodėl šliuzo žetonas nepakanka

OpenClaw integruota autentifikacija yra statinis žetonas. Jūs jį nustatote vieną kartą, ir kiekvienas užklausimas turi jį apimti. Tai geriau nei nieko. Tačiau jis turi esminių apribojimų.

Statiniai žetonai nesibaigia. Jei žetonas nuteka (per CVE-2026-25253, per žurnalus, per kenkėjišką įgūdį, skaitantį aplinkos kintamuosius), užpuolikas turi nuolatinę prieigą, kol pastebėsite ir rankiniu būdu jį pakeissite.

Statinių žetonų negalima apriboti. Šliuzo žetonas suteikia pilną prieigą. Nėra galimybės suteikti kam nors tik skaitymo prieigą arba apriboti, ką autentifikuota sesija gali daryti.

Statinių žetonų negalima susieti su vartotoju. Jei trys žmonės dalinasi žetonu, neturite audito pėdsakų, kas ką padarė.

Dauguma VPS diegimo vadovų pataria patalpinti OpenClaw už nginx su pagrindine autentifikacija. Tai geriau, bet vis tiek statinis kredencialas. Jei kas nors jį perima (tinklo šnipinėjimas nešifruotame ryšyje, kompromituota atvirkštinio tarpinio serverio konfigūracija, nutekėjęs .htpasswd failas), jis yra viduje.

Esminė problema yra gilesnė: autentifikacija vyksta programos viduje. Jei programa turi pažeidžiamumą, autentifikaciją galima apeiti. CVE-2026-25253 tai tiksliai pademonstruo. Šliuzo žetonas egzistavo. Pažeidžiamumas jį išgavo prieš programai apskritai gavus galimybę jį patikrinti.

Todėl mes sukūrėme OpenClaw.rocks su autentifikacija tarpinio serverio lygmenyje. Tolesnės dalys detalizuotai paaiškina architektūrą. Jei norite saugaus egzemplioriaus nekurdami jo patys, peržiūrėkite mūsų planus.

Kaip mes apsaugome šliuzą

OpenClaw.rocks autentifikacija vyksta tarpinio serverio lygmenyje, prieš užklausimui apskritai pasiekiant OpenClaw pod. Tai yra struktūrinis skirtumas, o ne tik konfigūracijos skirtumas.

Štai trijų sluoksnių architektūra.

1 sluoksnis: Pasirašyti šliuzo slapukai (HMAC-SHA256)

Kai pasiekiate savo OpenClaw egzempliorių per OpenClaw.rocks prietaisų skydelį, serveris sugeneruoja pasirašytą slapuką. Formatas yra:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Slapukas turi 4 valandų galiojimo laiką ir automatiškai atnaujinamas kas 45 minutes. Jis apribotas keliu /gw/{instanceId}, todėl vieno slapuko negalima naudoti prieigai prie kito egzemplioriaus. Jis yra HttpOnly (JavaScript negali jo perskaityti), Secure (siunčiamas tik per HTTPS) ir SameSite=Lax (nesiunčiamas su kryžminės kilmės užklausomis). HMAC tikrinamas naudojant laiko atžvilgiu saugų palyginimą, siekiant užkirsti kelią laiko atakoms.

Net jei kas nors perima slapuko reikšmę, jis negali sukurti naujo be pasirašymo paslapties. O pats slapukas neturi kredencialų, kurie tiesiogiai suteiktų prieigą prie OpenClaw.

2 sluoksnis: Traefik ForwardAuth

Kiekvienas užklausimas OpenClaw egzemplioriui eina per Traefik, mūsų atvirkštinį tarpinį serverį. Prieš persiųsdamas užklausimą, Traefik iškviečia auth-gate galinį tašką, kuris patikrina pasirašytą slapuką.

Tai yra gryna HMAC tikrinimas. Nulis duomenų bazės kvietimų. Nulis tinklo užklausų į Supabase ar bet kurią kitą paslaugą. Sprendimas priimamas per mikrosekundes.

Jei slapukas yra negaliojantis, pasibaigęs arba trūksta, užklausimas atmetamas tarpinio serverio lygmenyje. Užklausimas niekada nepasiekia OpenClaw. Tai yra esminis skirtumas. Įprastoje konfigūracijoje OpenClaw pats turi nuspręsti, ar leisti, ar atmesti užklausimą. Jei OpenClaw turi pažeidžiamumą autentifikacijos logikoje, užpuolikas gali prasmukti. Mūsų konfigūracijoje OpenClaw niekada nemato neautentifikuoto srauto.

3 sluoksnis: Šliuzo žetono injekcija

Kiekvienas OpenClaw egzempliorius turi integruotą šliuzo žetoną. Tai tas pats žetonas, kurį konfigūruotumėte patys, jei patys prieglobautumėte. Skirtumas yra tai, kaip jis patenka į pod.

Įprastoje savarankiško prieglobos konfigūracijoje jūs įklijuojate žetoną į konfigūracijos failą, galbūt saugote jį aplinkos kintamajame ir tikitės, kad jis niekada nenutekės. Jūsų naršyklė turi jį siųsti su kiekvienu užklausimu, o tai tiksliai atitinka tai, kaip CVE-2026-25253 jį išgavo.

Mūsų konfigūracijoje kriptografiškai atsitiktinis 32 baitų žetonas sugeneruojamas egzemplioriaus kūrimo metu ir saugomas kaip Kubernetes Secret. Traefik jį įterpia kaip Authorization antraštę kiekviename persiųstame užklausime. Naršyklė jo niekada nemato. Jis niekada neatsiranda konfigūracijos faile, kurį galėtumėte netyčia patvirtinti. Jis niekada nekeliauja per WebSocket, kurį kenkėjiškas puslapis gali perveržti. Žetonas egzistuoja, bet jis gyvena visiškai klasterio viduje, judėdamas tik tarp Traefik ir pod.

Kodėl ši architektūra blokuoja CVE-2026-25253

CVE-2026-25253 atakos grandinė išgauna šliuzo žetoną per WebSocket. Pažiūrėkime, kas nutinka, kai ši ataka nukreipiama prieš OpenClaw.rocks egzempliorių:

  1. Užpuoliko JavaScript bando atidaryti WebSocket ryšį su OpenClaw pod.
  2. Ryšys pirmiausia pasiekia Traefik. Traefik tikrina pasirašytą slapuką.
  3. Kenkėjiškas puslapis yra kitoje kilmėje. SameSite=Lax slapukas nesiunčiamas su kryžminės kilmės WebSocket ryšiais. Užklausimas atmetamas.
  4. Net jei slapukas būtų kažkaip pridėtas, užpuoliko puslapis negali jo perskaityti (HttpOnly). Nėra ko išgauti.
  5. Net jei slapukas nutekėtų, jis neturi nešėjo žetono. Nešėjo žetonas įterpiamas Traefik, niekada neatskleidžiamas naršyklei. Užpuolikas negali jo atkurti.

Nėra ko pavogti, nes naršyklė niekada nelaiko tikrųjų kredencialų. Atakos paviršius, kurį CVE-2026-25253 eksploatuoja, tiesiog neegzistuoja.

OpenClaw saugumo kontrolinis sąrašas savarankiškiems prieglobos naudotojams

Ne visi nori valdomos prieglobos, ir tai gerai. Jei naudojate savo OpenClaw egzempliorių, štai praktinis kontrolinis sąrašas 2026 metams.

Ar jūsų šliuzo autentifikacijos žetonas įjungtas? Paleiskite openclaw doctor, kad patikrintumėte. Jei šliuzo autentifikacija išjungta, bet kas, kas gali pasiekti prievadą 18789, kontroliuoja jūsų agentą ir viską, prie ko jis turi prieigą.

Ar jūsų egzempliorius yra už atvirkštinio tarpinio serverio su TLS? Paprastas HTTP reiškia, kad bet kas tinklo kelyje gali perskaityti jūsų šliuzo žetoną tranzitu. Naudokite nginx, Caddy arba Traefik su galiojančiu TLS sertifikatu. Let’s Encrypt yra nemokamas.

Ar naudojate naujausią versiją? CVE-2026-25253 buvo pataisytas v2026.1.29. CVE-2026-27001 buvo pataisytas v2026.2.15. Jei naudojate senesnę versiją, atnaujinkite dabar. Adversa AI sustiprinimo vadovas apima papildomus žingsnius.

Ar patikrinote savo įdiegtus įgūdžius? ClawHavoc kampanija buvo nukreipta konkrečiai prieš ClawHub. Patikrinkite kiekvieną įdiegtą įgūdį. Jei jo neįdiegėte patys, pašalinkite jį ir patikrinkite šaltinį.

Ar jūsų atvirkštinis tarpinis serveris tikrina WebSocket kilmes? Tai yra konkretus vektorius, kurį CVE-2026-25253 eksploatavo. Jūsų atvirkštinis tarpinis serveris turėtų atmesti WebSocket atnaujinimo užklausas iš netikėtų kilmių. OpenClaw saugumo dokumentacijoje yra konfigūracijos pavyzdžių.

Ar jūsų autentifikacija vyksta prieš ar po to, kai užklausimas pasiekia OpenClaw? Tai yra svarbiausias klausimas. Jei OpenClaw pats tvarko savo autentifikaciją, OpenClaw pažeidžiamumas gali ją apeiti. Jei jūsų atvirkštinis tarpinis serveris tvarko autentifikaciją, užklausimas niekada nepasiekia OpenClaw, nebent jis jau patikrintas.

Ko mes neišsprendžiame

Sąžiningumas čia svarbu. Tarpinio serverio lygmens autentifikacija išsprendžia šliuzo saugumą. Ji neišsprendžia visko.

Raginimo injekcija yra programos lygmens problema. Sumaniai sudarytas pranešimas gali potencialiai apgauti agentą atlikti nenumatytus veiksmus. Tai yra aktyvi tyrimų sritis visoje AI pramonėje, ir joks prieglobos tiekėjas šiandien negali to visiškai užkirsti.

Kenkėjiško įgūdžio elgsena vyksta agento kontekste. Jei įdiegiate įgūdį, kuris išgauna duomenis per leistiną HTTPS išėjimą, tarpinio serverio autentifikacija to negali sustabdyti. Ką mūsų infrastruktūra daro, tai riboja sprogimo spindulį: kiekvienas egzempliorius veikia savo Kubernetes pod su tinklo izoliacija, pašalintomis galimybėmis, seccomp ir tik skaitomu šakninę failų sistema. Kompromituotas agentas negali pasiekti kitų agentų ar pagrindinės sistemos. Kubernetes operatorius užtikrina šiuos numatytuosius nustatymus kiekvienam egzemplioriui.

LLM tiekėjo pasitikėjimas priklauso nuo jūsų plano. Jei naudojate savo API raktus (Light planas), jūsų pokalbiai eina per bet kurį tiekėją, kurį konfigūruojate, ir taikoma jo privatumo politika. Pro plane mes nukreipiame srautą per savo AI šliuzą su iš anksto sukonfigūruotais tiekėjais. Jums nereikia perduoti savo API raktų OpenClaw egzemplioriui ar pasitikėti, kad trečiosios šalies raktas saugomas saugiai. Šliuzas tvarko tiekėjų kredencialus jūsų vardu, ir jūs jų niekada nematote ir netvarkote tiesiogiai.

Saugumas yra sluoksniai. Mes tvarkome infrastruktūros sluoksnius. Programos lygmens iššūkiai yra tikri ir verti supratimo.

Saugumas yra architektūros sprendimas

OpenClaw saugumo krizė nėra apie vieną CVE ar vieną kenkėjiškų įgūdžių partiją. Tai apie įrankį, skirtą localhost, kurį šimtai tūkstančių žmonių diegia internete, su autentifikacija, kuri vyksta tos programos viduje, kurią ji turėtų apsaugoti.

Autentifikacijos perkėlimas į tarpinio serverio lygmenį nėra funkcija. Tai yra architektūros sprendimas. Tai reiškia, kad kai pasirodys kitas OpenClaw CVE (o jis pasirodys), autentifikuoti užklausimai vis tiek tikrinami prieš jiems palietint programą. Atakos paviršius yra struktūriškai mažesnis.

Mes priėmėme šį sprendimą nuo pirmos dienos. Kiekvienas OpenClaw.rocks egzempliorius veikia už pasirašytų slapukų, ForwardAuth tikrinimo ir kiekvienam egzemplioriui atskirų nešėjo žetonų. Jokių šliuzo žetonų naršyklėje. Jokių statinių kredencialų išgavimui. Jokios autentifikacijos logikos pažeidžiamoje programoje.

Jei norite daugiau skaityti apie tai, kaip mes diegiame OpenClaw Kubernetes platformoje su pilnu saugumo sustiprintinimu, diegimo vadovas tai išsamiai aprašo.

Jei tiesiog norite veikiančio agento, kuris išlieka saugus, negalvodami apie visa tai, būtent tai mes sukūrėme.

Pradėkite su OpenClaw.rocks arba išbandykite atvirojo kodo Kubernetes operatorių, jei pageidaujate valdyti savo infrastruktūrą.