Aktar minn 135,000 istanza ta’ OpenClaw huma esposti fuq l-internet. Vulnerabbiltà kritika tippermetti eżekuzzjoni ta’ kodiċi mill-bogħod b’klikk waħda permezz ta’ kwalunkwe browser. Ir-riċerkaturi sabu aktar minn 1,100 ħiliet malizzjużi li jqassmu Atomic Stealer fuq ClawHub. Microsoft ippubblikat blog post bl-isem “Running OpenClaw Safely” li tibda billi tinnota li “għall-biċċa l-kbira tal-ambjenti, id-deċiżjoni xierqa tista’ tkun li ma tiġix implimentata.” Iċ-ċentru nazzjonali taċ-ċibersigurtà tal-Belġju ħareġ avviż tal-gvern. Cisco sejħet lill-aġenti personali tal-AI bħal OpenClaw “ħolma kerha tas-sigurtà.”

Dan mhux FUD. Dawn huma fatti minn riċerkaturi tas-sigurtà indipendenti, fornituri tal-intrapriża, u aġenziji tal-gvern. Jekk qed tħaddem istanza ta’ OpenClaw, dan jikkonċernak.

X’mar ħażin

OpenClaw ġie ddisinjat għal-localhost. Tinstallah fuq il-magna tiegħek, titkellem miegħu permezz ta’ interface tal-web lokali, u jagħmel affarijiet f’ismek. Il-mudell tas-sigurtà assuma li l-persuna li qed taċċessa l-interface kienet il-persuna bilqiegħda mat-tastiera.

Imbagħad OpenClaw mar minn 9,000 għal aktar minn 200,000 stilla ta’ GitHub fi ftit ġimgħat. In-nies implimentawh fuq magni VPS, esponewh għall-internet, u qabbduh mal-kanali tal-messaġġi tagħhom. L-assunzjoni tal-localhost waqgħet fuq skala. (Kopernejna l-ispettru sħiħ ta’ għażliet ta’ implimentazzjoni u l-kompromessi tas-sigurtà tagħhom f’gwida separata.)

CVE-2026-25253: eżekuzzjoni ta’ kodiċi mill-bogħod b’klikk waħda

L-aktar vulnerabbiltà severa hija CVE-2026-25253, b’punteġġ CVSS ta’ 8.8. OpenClaw ma vvalidax il-headers tal-origin tal-WebSocket. Hawn hu kif jaħdem l-attakk:

  1. Il-vittma żżur paġna tal-web malizzjuża (jew paġna b’reklam malizzjuż).
  2. Il-JavaScript fuq dik il-paġna tiftaħ konnessjoni WebSocket għal localhost:18789, il-port default ta’ OpenClaw.
  3. Peress li l-browser jinsab fuq l-istess magna, il-konnessjoni tevita kwalunkwe regola tal-firewall.
  4. L-attakkant jesfiltru t-token tal-awtentikazzjoni tal-gateway permezz tal-WebSocket.
  5. Bit-token, l-attakkant għandu kontroll sħiħ: aċċess għall-shell, qari/kitba ta’ fajls, u eżekuzzjoni ta’ kmandamenti.

Li torbot mal-localhost ma tgħinx. L-attakk jippivota permezz tal-browser tal-vittma nnifsu. L-analiżi ta’ SOCRadar timxi mal-katina sħiħa.

Ħiliet malizzjużi u attakki fuq il-katina tal-provvista

Ir-riċerkaturi sabu 341 ħiliet malizzjużi fuq ClawHub fil-bidu ta’ Frar. Dak in-numru minn dakinhar żdied għal aktar minn 1,100. Il-kampanja ClawHavoc tqassam Atomic Stealer permezz ta’ ħiliet li jidhru leġittimi iżda li fihom passi moħbija ta’ eżekuzzjoni ta’ kmandamenti. Il-ħiliet huma fajls Markdown. Istruzzjoni moħbija li tgħid “ħaddem dan il-kmand tal-shell” hija faċli li tinkorpora u diffiċli li tinduna biha.

Fis-17 ta’ Frar, l-attakk tal-katina tal-provvista ta’ Cline ħa l-affarijiet aktar il quddiem. Token npm kompromess intuża biex jimbotta verżjoni ta’ Cline CLI li b’mod sieket tinstalla OpenClaw fuq il-magni tal-iżviluppaturi. L-attakk immira lejn il-pipeline tal-bini nnifsu.

Ir-riċerkaturi issa żvelaw sitt vulnerabbiltajiet addizzjonali fil-qalba ta’ OpenClaw, inkluż CVE-2026-27001. L-OWASP Top 10 għal-Applikazzjonijiet Aġentiċi issa tellenka ħafna minn dawn il-mudelli bħala riskji ewlenin. Kif l-analiżi ta’ Conscia tpoġġiha, din hija kriżi tas-sigurtà totali.

Għaliex token tal-gateway mhux biżżejjed

L-awtentikazzjoni inkorporata ta’ OpenClaw hija token statiku. Twaqqfu darba, u kull talba trid tinkludih. Huwa aħjar minn xejn. Iżda għandu limitazzjonijiet fundamentali.

It-tokens statiċi ma jiskadux. Jekk token jitlef (permezz ta’ CVE-2026-25253, permezz ta’ logs, permezz ta’ ħila malizzjuża li taqra varjabbli tal-ambjent), l-attakkant għandu aċċess permanenti sakemm tinduna u tirrotah manwalment.

It-tokens statiċi ma jistgħux jiġu limitati. It-token tal-gateway tagħti aċċess sħiħ. M’hemm l-ebda mod kif tagħti lil xi ħadd aċċess ta’ qari biss jew tillimita x’tista’ tagħmel sessjoni awtentikata.

It-tokens statiċi ma jistgħux jiġu marbuta ma’ utent. Jekk tliet persuni jaqsmu token, m’għandekx audit trail ta’ min għamel xiex.

Il-biċċa l-kbira tal-gwidi ta’ implimentazzjoni VPS jirrakkmandaw li tpoġġi OpenClaw wara nginx b’awtentikazzjoni bażika. Dak huwa aħjar, iżda xorta waħda huwa kredenzjal statiku. Jekk xi ħadd jaqbdu (sniffing tan-network fuq konnessjoni mhux kriptata, konfigurazzjoni ta’ reverse proxy kompromessa, fajl .htpasswd li tileef), huma ġewwa.

Il-problema fundamentali hija aktar fonda: l-awtentikazzjoni sseħħ ġewwa l-applikazzjoni. Jekk l-applikazzjoni għandha vulnerabbiltà, l-awtentikazzjoni tista’ tiġi evitata. CVE-2026-25253 uriet dan eżattament. It-token tal-gateway kien jeżisti. Il-vulnerabbiltà estrattietu qabel l-applikazzjoni kellha ċ-ċans li tivverifikah.

Għalhekk bnejna OpenClaw.rocks b’awtentikazzjoni fil-livell tal-proxy. It-taqsimiet hawn taħt jispjegaw l-arkitettura fid-dettall. Jekk trid sempliċement istanza sigura mingħajr ma tibnija int, ara l-pjanijiet tagħna.

Kif nissiguraw il-gateway

F’OpenClaw.rocks, l-awtentikazzjoni sseħħ fil-livell tal-proxy, qabel it-talba tilħaq il-pod ta’ OpenClaw. Din hija differenza strutturali, mhux biss differenza ta’ konfigurazzjoni.

Hawn hija l-arkitettura ta’ tliet saffi.

Saff 1: Cookies tal-gateway ffirmati (HMAC-SHA256)

Meta taċċessa l-istanza tiegħek ta’ OpenClaw permezz tad-dashboard ta’ OpenClaw.rocks, is-server jiġġenera cookie ffirmat. Il-format huwa:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Il-cookie għandu TTL ta’ 4 sigħat u jiġġedded awtomatikament kull 45 minuta. Huwa limitat għall-path /gw/{instanceId}, għalhekk cookie wieħed ma jistax jintuża biex taċċessa istanza differenti. Huwa HttpOnly (JavaScript ma jistax jaqrah), Secure (jintbagħat biss fuq HTTPS), u SameSite=Lax (ma jintbagħatx fuq talbiet cross-origin). Il-HMAC jiġi vverifikat billi jintuża tqabbil sigur miż-żmien biex jiġu pprevenuti attakki tat-timing.

Anki jekk xi ħadd jaqbad il-valur tal-cookie, ma jistax jiffalsifika wieħed ġdid mingħajr is-sigriet tal-firma. U l-cookie nnifsu ma fihx kredenzjali li jagħtu aċċess dirett għal OpenClaw.

Saff 2: Traefik ForwardAuth

Kull talba għal istanza ta’ OpenClaw tgħaddi minn Traefik, il-reverse proxy tagħna. Qabel ma jibgħat it-talba, Traefik isejjaħ endpoint auth-gate li jivverifika l-cookie ffirmat.

Din hija verifika HMAC pura. Żero sejħiet lid-database. Żero talbiet tan-network lejn Supabase jew kwalunkwe servizz ieħor. Id-deċiżjoni tittieħed f’mikrosekondi.

Jekk il-cookie huwa invalidu, skadut, jew nieqes, it-talba tiġi rifjutata fil-livell tal-proxy. It-talba qatt ma tilħaq OpenClaw. Din hija d-differenza ewlenija. F’setup tipiku, OpenClaw innifsu jrid jiddeċiedi jekk jippermettix jew jirrifjutax talba. Jekk OpenClaw għandu vulnerabbiltà fil-loġika tal-awtentikazzjoni tiegħu, attakkant jista’ jgħaddi. Fis-setup tagħna, OpenClaw qatt ma jara traffiku mhux awtentikat.

Saff 3: Injezzjoni tat-token tal-gateway

Kull istanza ta’ OpenClaw għandha token tal-gateway inkorporat. Dan huwa l-istess token li tkun tikkonfigura int kieku kont tagħmel self-hosting. Id-differenza hija kif jasal fil-pod.

F’setup tipiku ta’ self-hosting, twaħħal it-token f’fajl ta’ konfigurazzjoni, forsi taħżnu f’varjabbli tal-ambjent, u tittama li qatt ma jitlef. Il-browser tiegħek irid jibagħtu ma’ kull talba, li hija eżattament kif CVE-2026-25253 estrattietu.

Fis-setup tagħna, token ta’ 32 byte kriptografikament random jiġi ġġenerat meta tinħoloq l-istanza u jinħażen bħala Kubernetes Secret. Traefik jinjettah bħala header Authorization fuq kull talba mibgħuta. Il-browser qatt ma jarah. Qatt ma jidher f’fajl ta’ konfigurazzjoni li tista’ tagħmel commit bih bi żball. Qatt ma jivvjaġġa fuq WebSocket li paġna malizzjuża tista’ taqbad. It-token jeżisti, iżda jgħix kompletament ġewwa l-cluster, jimxi biss bejn Traefik u l-pod.

Għaliex din l-arkitettura timblokka CVE-2026-25253

Il-katina ta’ attakk ta’ CVE-2026-25253 tesfiltru t-token tal-gateway permezz ta’ WebSocket. Ejja nimxu ma’ x’jiġri meta dak l-attakk jimmira istanza ta’ OpenClaw.rocks:

  1. Il-JavaScript tal-attakkant jipprova jiftaħ konnessjoni WebSocket mal-pod ta’ OpenClaw.
  2. Il-konnessjoni tolqot lil Traefik l-ewwel. Traefik jiċċekkja l-cookie ffirmat.
  3. Il-paġna malizzjuża hija fuq origin differenti. Il-cookie SameSite=Lax ma jintbagħatx fuq konnessjonijiet WebSocket cross-origin. It-talba tiġi rifjutata.
  4. Anki kieku l-cookie b’xi mod kien mehmuż, il-paġna tal-attakkant ma tistax taqrah (HttpOnly). M’hemm xejn x’tesfiltru.
  5. Anki kieku l-cookie tileef, ma fihx it-token bearer. It-token bearer jiġi injettat minn Traefik, qatt ma jiġi espost lill-browser. L-attakkant ma jistax jerġa’ jibnijh.

M’hemm xejn x’tisraq għaliex il-browser qatt ma jżomm il-kredenzjali veri. Is-superfiċje tal-attakk li CVE-2026-25253 jesfrutta sempliċement ma jeżistix.

Lista ta’ kontroll tas-sigurtà ta’ OpenClaw għal-self-hosters

Mhux kulħadd irid hosting immaniġġjat, u dak huwa tajjeb. Jekk qed tħaddem l-istanza tiegħek ta’ OpenClaw, hawn hija lista ta’ kontroll prattika għall-2026.

It-token tal-awtentikazzjoni tal-gateway tiegħek huwa attivat? Ħaddem openclaw doctor biex tiċċekkja. Jekk l-awtentikazzjoni tal-gateway hija diżattivata, kull min jista’ jilħaq il-port 18789 jikkontrolla l-aġent tiegħek u dak kollu li għandu aċċess għalih.

L-istanza tiegħek hija wara reverse proxy b’TLS? HTTP sempliċi jfisser li kull min jinsab fuq il-mogħdija tan-network jista’ jaqra t-token tal-gateway tiegħek fi tranżitu. Uża nginx, Caddy, jew Traefik b’ċertifikat TLS validu. Let’s Encrypt huwa b’xejn.

Qiegħed fuq l-aħħar verżjoni? CVE-2026-25253 ġie kkoreġut f’v2026.1.29. CVE-2026-27001 ġie kkoreġut f’v2026.2.15. Jekk qed tħaddem verżjoni eqdem, aġġorna issa. Il-gwida ta’ ħardenjar ta’ Adversa AI tkopri passi addizzjonali.

Ivverifikajt il-ħiliet installati tiegħek? Il-kampanja ClawHavoc immirat speċifikament lejn ClawHub. Iċċekkja kull ħila li installajt. Jekk ma installajthiex int, neħħiha u ivverifika s-sors.

Il-reverse proxy tiegħek qed jivvalida l-origins tal-WebSocket? Dan huwa l-vettur speċifiku li CVE-2026-25253 esfrutta. Il-reverse proxy tiegħek għandu jirrifjuta talbiet ta’ upgrade tal-WebSocket minn origins mhux mistennija. Id-dokumentazzjoni tas-sigurtà ta’ OpenClaw għandha eżempji ta’ konfigurazzjoni.

L-awtentikazzjoni tiegħek isseħħ qabel jew wara li t-talba tilħaq OpenClaw? Din hija l-mistoqsija l-aktar importanti. Jekk OpenClaw jimmaniġġja l-awtentikazzjoni tiegħu stess, vulnerabbiltà f’OpenClaw tista’ tevitaha. Jekk il-reverse proxy tiegħek jimmaniġġja l-awtentikazzjoni, it-talba qatt ma tilħaq OpenClaw sakemm ma tkunx diġà vverifikata.

X’ma nsolvux

L-onestà hija importanti hawn. L-awtentikazzjoni fil-livell tal-proxy ssolvi s-sigurtà tal-gateway. Ma ssolvix kollox.

L-injezzjoni ta’ prompts hija problema fil-livell tal-applikazzjoni. Messaġġ maħdum b’mod intelliġenti jista’ potenzjalment jqarraq l-aġent biex jieħu azzjonijiet mhux intenzjonati. Dan huwa qasam ta’ riċerka attiv fl-industrija AI kollha, u l-ebda fornitur ta’ hosting ma jista’ jipprevjeniha kompletament illum.

Imġiba ta’ ħila malizzjuża taħdem fil-kuntest tal-aġent. Jekk tinstalla ħila li tesfiltru data permezz ta’ ħruġ HTTPS permess, l-awtentikazzjoni tal-proxy ma tistax twaqqafha. Dak li tagħmel l-infrastruttura tagħna huwa li tillimita r-raġġ tal-isplużjoni: kull istanza taħdem fil-pod Kubernetes tagħha b’iżolament tan-network, kapaċitajiet imneħħija, seccomp, u sistema ta’ fajls root ta’ qari biss. Aġent kompromess ma jistax jilħaq aġenti oħra jew is-sistema host. L-operatur Kubernetes jinforza dawn id-defaults għal kull istanza.

Il-fiduċja fil-fornitur LLM tiddependi fuq il-pjan tiegħek. Jekk tuża l-API keys tiegħek (pjan Light), il-konversazzjonijiet tiegħek jgħaddu mill-fornitur li tikkonfigura, u l-politika tal-privatezza tagħhom tapplika. Fuq il-pjan Pro, nirrutaw it-traffiku permezz tal-gateway AI tagħna b’fornituri prekonfigurati. M’għandekx bżonn tgħaddi l-API keys tiegħek lil istanza ta’ OpenClaw jew tafda li ċavetta ta’ terza parti hija maħżuna b’mod sigur. Il-gateway jimmaniġġja l-kredenzjali tal-fornituri f’ismek, u int qatt ma tarahom jew timmaniġġjahom direttament.

Is-sigurtà hija saffi. Aħna nimmaniġġjaw is-saffi tal-infrastruttura. L-isfidi fil-livell tal-applikazzjoni huma reali u jixirqilhom li jiġu mifhuma.

Is-sigurtà hija deċiżjoni ta’ arkitettura

Il-kriżi tas-sigurtà ta’ OpenClaw mhix dwar CVE wieħed jew batch wieħed ta’ ħiliet malizzjużi. Hija dwar għodda ddisinjata għal-localhost li qed tiġi implimentata fuq l-internet minn mijiet ta’ eluf ta’ nies, b’awtentikazzjoni li sseħħ ġewwa l-applikazzjoni li suppost tipproteġi.

Li tiċċaqlaq l-awtentikazzjoni għal-livell tal-proxy mhix karatteristika. Hija deċiżjoni ta’ arkitettura. Tfisser li meta l-CVE li jmiss ta’ OpenClaw joħroġ (u se joħroġ), it-talbiet awtentikati xorta jiġu vverifikati qabel ma jmissu l-applikazzjoni. Is-superfiċje tal-attakk hija strutturalment iżgħar.

Ħadna dik id-deċiżjoni mill-ewwel jum. Kull istanza ta’ OpenClaw.rocks taħdem wara cookies ffirmati, verifika ForwardAuth, u tokens bearer għal kull istanza. L-ebda tokens tal-gateway fil-browser. L-ebda kredenzjali statiċi biex jiġu esfiltrati. L-ebda loġika ta’ awtentikazzjoni ġewwa l-applikazzjoni vulnerabbli.

Jekk trid taqra aktar dwar kif nimplimentaw OpenClaw fuq Kubernetes b’ħardenjar tas-sigurtà sħiħ, il-gwida ta’ implimentazzjoni tkopriha fid-dettall.

Jekk sempliċement trid aġent li jaħdem u jibqa’ sigur mingħajr ma taħseb dwar xejn minn dan, dak hu li bnejna.

Ibda fuq OpenClaw.rocks jew esplora l-operatur Kubernetes open-source jekk tippreferi tħaddem l-infrastruttura tiegħek.