Viac ako 135 000 inštancií OpenClaw je vystavených na internete. Kritická zraniteľnosť umožňuje vzdialené spustenie kódu jedným kliknutím z akéhokoľvek prehliadača. Výskumníci našli viac ako 1 100 škodlivých skillov šíriacich Atomic Stealer na ClawHub. Microsoft publikoval blogový príspevok s názvom „Running OpenClaw Safely”, ktorý začína konštatovaním, že „pre väčšinu prostredí môže byť vhodným rozhodnutím ho nenasadzovať.” Belgické národné centrum pre kybernetickú bezpečnosť vydalo vládne varovanie. Cisco označilo osobných AI agentov ako OpenClaw za „bezpečnostnú nočnú moru.”

Toto nie je šírenie paniky. Sú to fakty od nezávislých bezpečnostných výskumníkov, podnikových dodávateľov a vládnych agentúr. Ak prevádzkujete inštanciu OpenClaw, týka sa vás to.

Čo sa pokazilo

OpenClaw bol navrhnutý pre localhost. Nainštalujete si ho na počítač, komunikujete cez lokálne webové rozhranie a on plní úlohy vo vašom mene. Bezpečnostný model predpokladal, že osoba pristupujúca k rozhraniu je osoba sediaca pri klávesnici.

Potom OpenClaw preskočil z 9 000 na viac ako 200 000 hviezdičiek na GitHub v priebehu niekoľkých týždňov. Ľudia ho nasadili na VPS servery, vystavili na internet a prepojili so svojimi komunikačnými kanálmi. Predpoklad localhost sa vo veľkom meradle zrútil. (Celé spektrum možností nasadenia a ich bezpečnostné kompromisy sme prebrali v samostatnom sprievodcovi.)

CVE-2026-25253: vzdialené spustenie kódu jedným kliknutím

Najzávažnejšou zraniteľnosťou je CVE-2026-25253, hodnotená CVSS 8.8. OpenClaw nevalidoval hlavičky origin u WebSocket. Takto útok funguje:

  1. Obeť navštívi škodlivú webovú stránku (alebo stránku so škodlivou reklamou).
  2. JavaScript na tej stránke otvorí WebSocket spojenie na localhost:18789, predvolený port OpenClaw.
  3. Pretože prehliadač je na tom istom počítači, spojenie obchádza všetky pravidlá firewallu.
  4. Útočník exfiltruje gateway autentifikačný token cez WebSocket.
  5. S tokenom má útočník plnú kontrolu: prístup k shellu, čítanie/zápis súborov a spúšťanie príkazov.

Naviazanie na localhost nepomáha. Útok sa otáča cez vlastný prehliadač obete. Analýza SOCRadar prechádza celý reťazec.

Škodlivé skilly a útoky na dodávateľský reťazec

Výskumníci našli 341 škodlivých skillov na ClawHub začiatkom februára. Toto číslo odvtedy vzrástlo na viac ako 1 100. Kampaň ClawHavoc šíri Atomic Stealer prostredníctvom skillov, ktoré vyzerajú legitímne, ale obsahujú skryté kroky na spustenie príkazov. Skilly sú Markdown súbory. Skrytá inštrukcia, ktorá hovorí „spusti tento shell príkaz”, sa ľahko vloží a ťažko odhalí.

  1. februára útok na dodávateľský reťazec Cline šiel ešte ďalej. Kompromitovaný npm token bol použitý na publikáciu verzie Cline CLI, ktorá ticho inštalovala OpenClaw na počítače vývojárov. Útok cielil na samotný build pipeline.

Výskumníci teraz odhalili šesť ďalších zraniteľností v jadre OpenClaw, vrátane CVE-2026-27001. OWASP Top 10 pre Agentické Aplikácie teraz uvádza mnohé z týchto vzorov ako hlavné riziká. Ako to formuluje analýza Conscia, ide o plnohodnotnú bezpečnostnú krízu.

Prečo gateway token nestačí

Zabudovaná autentifikácia OpenClaw je statický token. Nastavíte ho raz a každý požiadavok ho musí obsahovať. Je to lepšie ako nič. Ale má zásadné obmedzenia.

Statické tokeny nevypršiavajú. Ak token unikne (cez CVE-2026-25253, cez logy, cez škodlivý skill čítajúci premenné prostredia), útočník má trvalý prístup, kým si to nevšimnete a manuálne ho nerotujete.

Statické tokeny nemožno obmedziť v rozsahu. Gateway token poskytuje plný prístup. Neexistuje spôsob, ako niekomu dať prístup len na čítanie alebo obmedziť, čo môže autentifikovaná relácia robiť.

Statické tokeny nemožno previazať s používateľom. Ak tri ľudia zdieľajú token, neexistuje auditná stopa o tom, kto čo urobil.

Väčšina návodov na nasadenie na VPS odporúča umiestniť OpenClaw za nginx s basic auth. To je lepšie, ale stále ide o statický prihlasovací údaj. Ak ho niekto zachytí (odpočúvanie siete na nešifrovanom spojení, kompromitovaná konfigurácia reverse proxy, uniknutý súbor .htpasswd), má prístup.

Základný problém je hlbší: autentifikácia prebieha vnútri aplikácie. Ak má aplikácia zraniteľnosť, autentifikáciu možno obísť. CVE-2026-25253 to presne demonštrovala. Gateway token existoval. Zraniteľnosť ho extrahovala skôr, než mala aplikácia šancu ho overiť.

Preto sme vybudovali OpenClaw.rocks s autentifikáciou na úrovni proxy. Nasledujúce sekcie podrobne vysvetľujú architektúru. Ak chcete jednoducho zabezpečenú inštanciu bez toho, aby ste si to všetko stavali sami, pozrite sa na naše plány.

Ako zabezpečujeme gateway

U OpenClaw.rocks prebieha autentifikácia na vrstve proxy, skôr než požiadavok vôbec dosiahne OpenClaw pod. Ide o štrukturálny rozdiel, nie len o konfiguračný.

Tu je trojvrstvová architektúra.

Keď pristupujete k svojej inštancii OpenClaw cez dashboard OpenClaw.rocks, server vygeneruje podpísané cookie. Formát je:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Cookie má TTL 4 hodiny a automaticky sa obnovuje každých 45 minút. Je obmedzené na cestu /gw/{instanceId}, takže jedno cookie nemožno použiť na prístup k inej inštancii. Je HttpOnly (JavaScript ho nemôže čítať), Secure (odosielané len cez HTTPS) a SameSite=Lax (neodosielané pri cross-origin požiadavkách). HMAC je overovaný pomocou časovo bezpečného porovnania na prevenciu časových útokov.

Aj keby niekto zachytil hodnotu cookie, nemôže podvrhnúť nové bez podpisového tajomstva. A cookie samotné neobsahuje prihlasovacie údaje, ktoré by poskytovali priamy prístup k OpenClaw.

Vrstva 2: Traefik ForwardAuth

Každý požiadavok na inštanciu OpenClaw prechádza cez Traefik, náš reverse proxy. Pred odoslaním požiadavku Traefik zavolá auth-gate endpoint, ktorý overí podpísané cookie.

Ide o čistú HMAC verifikáciu. Žiadne databázové volania. Žiadne sieťové požiadavky na Supabase ani žiadny iný servis. Rozhodnutie sa urobí v mikrosekundách.

Ak je cookie neplatné, vypršané alebo chýba, požiadavok je odmietnutý na vrstve proxy. Požiadavok nikdy nedosiahne OpenClaw. To je kľúčový rozdiel. V typickom nastavení musí sám OpenClaw rozhodnúť, či požiadavok povolí alebo odmietne. Ak má OpenClaw zraniteľnosť vo svojej autentifikačnej logike, útočník sa môže pretlačiť. V našom nastavení OpenClaw nikdy nevidí neautentifikovaný prenos.

Vrstva 3: Injekcia gateway tokenu

Každá inštancia OpenClaw má zabudovaný gateway token. Je to ten istý token, ktorý by ste si nakonfigurovali sami pri self-hostingu. Rozdiel je v tom, ako sa dostane k podu.

V typickom nastavení self-hostingu vložíte token do konfiguračného súboru, možno ho uložíte do premennej prostredia a dúfate, že nikdy neunikne. Váš prehliadač ho musí odosielať s každým požiadavkom, čo je presne spôsob, akým ho CVE-2026-25253 exfiltrovala.

V našom nastavení je pri vytvorení inštancie vygenerovaný kryptograficky náhodný 32-bajtový token a uložený ako Kubernetes Secret. Traefik ho injektuje ako hlavičku Authorization pri každom odoslanom požiadavku. Prehliadač ho nikdy nevidí. Nikdy sa neobjaví v konfiguračnom súbore, ktorý by ste mohli omylom commitnúť. Nikdy necestuje cez WebSocket, ktorý by škodlivá stránka mohla uniesť. Token existuje, ale žije výhradne vnútri clustera a pohybuje sa len medzi Traefikem a podom.

Prečo táto architektúra blokuje CVE-2026-25253

Útočný reťazec CVE-2026-25253 exfiltruje gateway token cez WebSocket. Poďme prejsť, čo sa stane, keď tento útok cieli na inštanciu OpenClaw.rocks:

  1. JavaScript útočníka sa pokúsi otvoriť WebSocket k OpenClaw podu.
  2. Spojenie najskôr narazí na Traefik. Traefik skontroluje podpísané cookie.
  3. Škodlivá stránka je na inom origine. Cookie SameSite=Lax sa neodosiela pri cross-origin WebSocket spojeniach. Požiadavok je odmietnutý.
  4. Aj keby bolo cookie nejakým spôsobom pripojené, stránka útočníka ho nemôže prečítať (HttpOnly). Nie je čo exfiltrovať.
  5. Aj keby cookie uniklo, neobsahuje bearer token. Bearer token je injektovaný Traefikem, nikdy nie je vystavený prehliadaču. Útočník ho nemôže rekonštruovať.

Nie je čo ukradnúť, pretože prehliadač nikdy nedrží skutočné prihlasovacie údaje. Útočná plocha, ktorú CVE-2026-25253 exploituje, jednoducho neexistuje.

Bezpečnostný checklist OpenClaw pre self-hosterov

Nie každý chce spravovaný hosting, a to je v poriadku. Ak prevádzkujete vlastnú inštanciu OpenClaw, tu je praktický checklist na rok 2026.

Je váš gateway autentifikačný token povolený? Spustite openclaw doctor na kontrolu. Ak je gateway auth vypnutý, ktokoľvek, kto sa dostane k portu 18789, ovláda vášho agenta a všetko, k čomu má prístup.

Je vaša inštancia za reverse proxy s TLS? Nešifrované HTTP znamená, že ktokoľvek na sieťovej ceste môže prečítať váš gateway token pri prenose. Použite nginx, Caddy alebo Traefik s platným TLS certifikátom. Let’s Encrypt je zadarmo.

Máte najnovšiu verziu? CVE-2026-25253 bola opravená vo v2026.1.29. CVE-2026-27001 bola opravená vo v2026.2.15. Ak používate staršiu verziu, aktualizujte teraz. Sprievodca hardeningom od Adversa AI pokrýva ďalšie kroky.

Vykonali ste audit svojich nainštalovaných skillov? Kampaň ClawHavoc cielila konkrétne na ClawHub. Skontrolujte každý skill, ktorý ste nainštalovali. Ak ste ho neinštalovali vy sami, odstráňte ho a overte zdroj.

Validuje váš reverse proxy WebSocket originy? Toto je špecifický vektor, ktorý CVE-2026-25253 exploitovala. Váš reverse proxy by mal odmietať WebSocket upgrade požiadavky z neočakávaných originov. Bezpečnostná dokumentácia OpenClaw obsahuje konfiguračné príklady.

Prebieha vaša autentifikácia pred alebo po dosiahnutí OpenClaw? Toto je otázka, na ktorej najviac záleží. Ak OpenClaw rieši svoju vlastnú autentifikáciu, zraniteľnosť v OpenClaw ju môže obísť. Ak váš reverse proxy rieši autentifikáciu, požiadavok nikdy nedosiahne OpenClaw, ak už nie je overený.

Čo neriešime

Úprimnosť je tu dôležitá. Autentifikácia na úrovni proxy rieši bezpečnosť gateway. Nerieši všetko.

Prompt injection je problém na úrovni aplikácie. Šikovne formulovaná správa môže potenciálne oklamať agenta, aby vykonal nezamýšľané akcie. Ide o aktívnu oblasť výskumu v celom odvetví AI a žiadny poskytovateľ hostingu to dnes nemôže úplne zabrániť.

Škodlivé správanie skillov beží v kontexte agenta. Ak nainštalujete skill, ktorý exfiltruje dáta cez povolený HTTPS odchádzajúci prenos, proxy auth to nemôže zastaviť. Čo naša infraštruktúra robí, je obmedzenie výbuchového polomeru: každá inštancia beží vo vlastnom Kubernetes pode so sieťovou izoláciou, odnímanými capabilities, seccomp a súborovým systémom root v režime len na čítanie. Kompromitovaný agent nemôže dosiahnuť na iných agentov alebo hostiteľský systém. Kubernetes operátor vynucuje tieto predvolené nastavenia pre každú inštanciu.

Dôvera v poskytovateľa LLM závisí od vášho plánu. Ak používate vlastné API kľúče (plán Light), vaše konverzácie prechádzajú poskytovateľom, ktorého nakonfigurujete, a platia jeho zásady ochrany súkromia. Pri pláne Pro smerujeme prevádzku cez náš vlastný AI gateway s predkonfigurovanými poskytovateľmi. Nemusíte odovzdávať svoje API kľúče inštancii OpenClaw ani dôverovať tomu, že kľúč tretej strany je bezpečne uložený. Gateway spravuje prihlasovacie údaje poskytovateľov vo vašom mene a vy ich nikdy nevidíte ani priamo nemanipulujete.

Bezpečnosť funguje vo vrstvách. My sa staráme o infraštruktúrne vrstvy. Výzvy na úrovni aplikácie sú reálne a stojí za to im rozumieť.

Bezpečnosť je architektonické rozhodnutie

Bezpečnostná kríza OpenClaw nie je o jednom CVE alebo jednej dávke škodlivých skillov. Je o nástroji navrhnutom pre localhost, ktorý je nasadzovaný na internete stovkami tisíc ľudí, s autentifikáciou, ktorá prebieha vnútri aplikácie, ktorú má chrániť.

Presunutie autentifikácie na vrstvu proxy nie je funkcia. Je to architektonické rozhodnutie. Znamená to, že keď príde ďalšie OpenClaw CVE (a príde), autentifikované požiadavky budú stále overované predtým, ako sa dotknú aplikácie. Útočná plocha je štrukturálne menšia.

Toto rozhodnutie sme urobili prvý deň. Každá inštancia OpenClaw.rocks beží za podpísanými cookie, ForwardAuth verifikáciou a bearer tokenmi pre každú inštanciu. Žiadne gateway tokeny v prehliadači. Žiadne statické prihlasovacie údaje na exfiltráciu. Žiadna autentifikačná logika vnútri zraniteľnej aplikácie.

Ak si chcete prečítať viac o tom, ako nasadzujeme OpenClaw na Kubernetes s kompletným bezpečnostným hardeningom, sprievodca nasadením to pokrýva podrobne.

Ak chcete jednoducho bežiaceho agenta, ktorý zostane zabezpečený bez premýšľania o čomkoľvek z toho, presne to sme vybudovali.

Začnite na OpenClaw.rocks alebo preskúmajte open-source Kubernetes operátor, ak dávate prednosť správe vlastnej infraštruktúry.