Več kot 135.000 primerkov OpenClaw je izpostavljenih na internetu. Kritična ranljivost omogoča oddaljeno izvajanje kode z enim samim klikom iz katerega koli brskalnika. Raziskovalci so odkrili več kot 1.100 zlonamernih veščin, ki razširjajo Atomic Stealer na ClawHub. Microsoft je objavil objavo z naslovom „Running OpenClaw Safely”, ki se začne z ugotovitvijo, da „za večino okolij primerna odločitev morda je, da ga ne namestite.” Belgijski nacionalni center za kibernetsko varnost je izdal vladno opozorilo. Cisco je osebne AI agente, kot je OpenClaw, označil za „varnostno nočno moro.”

To ni širjenje strahu. To so dejstva od neodvisnih varnostnih raziskovalcev, korporativnih ponudnikov in vladnih agencij. Če upravljate primerek OpenClaw, Vas to zadeva.

Kaj je šlo narobe

OpenClaw je bil zasnovan za localhost. Namestite ga na svoj računalnik, komunicirate prek lokalnega spletnega vmesnika, on pa izvaja naloge v Vašem imenu. Varnostni model je predpostavljal, da je oseba, ki dostopa do vmesnika, oseba, ki sedi za tipkovnico.

Nato je OpenClaw v nekaj tednih skočil z 9.000 na več kot 200.000 zvezdic na GitHub. Ljudje so ga namestili na strežnike VPS, ga izpostavili internetu in ga povezali s svojimi kanali za sporočanje. Predpostavka localhost se je v velikem merilu sesul. (Celoten spekter možnosti namestitve in njihove varnostne kompromise smo obravnavali v ločenem vodniku.)

CVE-2026-25253: oddaljeno izvajanje kode z enim klikom

Najresnejša ranljivost je CVE-2026-25253, ocenjena s CVSS 8.8. OpenClaw ni preverjal WebSocket origin glav. Tako napad deluje:

  1. Žrtev obišče zlonamerno spletno stran (ali stran z zlonamernim oglasom).
  2. JavaScript na tej strani odpre WebSocket povezavo na localhost:18789, privzeta vrata OpenClaw.
  3. Ker je brskalnik na istem računalniku, povezava zaobide vsa pravila požarnega zidu.
  4. Napadalec izloči žeton za avtentikacijo prehoda prek WebSocket.
  5. Z žetonom ima napadalec popoln nadzor: dostop do lupine, branje/pisanje datotek in izvajanje ukazov.

Vezava na localhost ne pomaga. Napad se preusmeri prek lastnega brskalnika žrtve. Analiza SOCRadar obravnava celotno verigo.

Zlonamerne veščine in napadi na dobavno verigo

Raziskovalci so našli 341 zlonamernih veščin na ClawHub v začetku februarja. To število je od takrat naraslo na več kot 1.100. Kampanja ClawHavoc razširja Atomic Stealer prek veščin, ki izgledajo legitimne, a vsebujejo skrite korake za izvajanje ukazov. Veščine so Markdown datoteke. Skrito navodilo, ki pravi „izvedi ta ukaz lupine”, je enostavno vgraditi in težko opaziti.

  1. februarja je napad na dobavno verigo Cline šel še dlje. Kompromitiran npm žeton je bil uporabljen za objavo različice Cline CLI, ki je tiho namestila OpenClaw na razvijalske računalnike. Napad je ciljal sam build pipeline.

Raziskovalci so zdaj razkrili šest dodatnih ranljivosti v jedru OpenClaw, vključno s CVE-2026-27001. OWASP Top 10 za agentske aplikacije zdaj navaja mnogo teh vzorcev kot vodilna tveganja. Kot formulira analiza Conscia, gre za polnokrvno varnostno krizo.

Zakaj žeton prehoda ni dovolj

Vgrajena avtentikacija OpenClaw je statičen žeton. Nastavite ga enkrat in vsaka zahteva ga mora vsebovati. To je boljše od ničesar. Ampak ima temeljne omejitve.

Statični žetoni ne potečejo. Če žeton uhaja (prek CVE-2026-25253, prek dnevnikov, prek zlonamerne veščine, ki bere okoljske spremenljivke), ima napadalec trajen dostop, dokler ne opazite in ročno rotirate.

Statičnih žetonov ni mogoče omejiti v obsegu. Žeton prehoda daje poln dostop. Ni načina, da bi nekomu dali dostop samo za branje ali omejili, kaj avtenticirana seja lahko počne.

Statičnih žetonov ni mogoče vezati na uporabnika. Če trije ljudje delijo žeton, ni revizijske sledi o tem, kdo je kaj naredil.

Večina VPS vodnikov za namestitev svetuje postavitev OpenClaw za nginx z osnovno avtentikacijo. To je boljše, ampak je še vedno statično poverilo. Če ga nekdo prestreže (mrežno prisluškovanje na nešifrirani povezavi, kompromitirana konfiguracija reverse proxyja, uhajana .htpasswd datoteka), ima dostop.

Temeljni problem je globlji: avtentikacija se dogaja znotraj aplikacije. Če ima aplikacija ranljivost, se avtentikacija lahko zaobide. CVE-2026-25253 je to natančno demonstriral. Žeton prehoda je obstajal. Ranljivost ga je izvlekla, preden je imela aplikacija sploh priložnost ga preveriti.

Zato smo OpenClaw.rocks zgradili z avtentikacijo na ravni posredniškega strežnika. Naslednji razdelki podrobno pojasnjujejo arhitekturo. Če preprosto želite varen primerek brez lastne gradnje, si oglejte naše pakete.

Kako varujemo prehod

Pri OpenClaw.rocks se avtentikacija dogaja na ravni posredniškega strežnika, preden zahteva sploh doseže OpenClaw pod. To je strukturna razlika, ne le konfiguracijska.

Tukaj je triplastna arhitektura.

Plast 1: Podpisani prehodniški piškotki (HMAC-SHA256)

Ko dostopate do svojega primerka OpenClaw prek nadzorne plošče OpenClaw.rocks, strežnik ustvari podpisan piškotek. Format je:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Piškotek ima TTL 4 ure in se samodejno osveži vsakih 45 minut. Omejen je na pot /gw/{instanceId}, zato enega piškotka ni mogoče uporabiti za dostop do drugega primerka. Je HttpOnly (JavaScript ga ne more brati), Secure (pošilja se samo prek HTTPS) in SameSite=Lax (ne pošilja se pri zahtevah prek različnih izvorov). HMAC se preverja s časovno varno primerjavo za preprečevanje časovnih napadov.

Tudi če nekdo prestreže vrednost piškotka, ne more ponarediti novega brez podpisne skrivnosti. In piškotek sam ne vsebuje poveril, ki bi dajala neposreden dostop do OpenClaw.

Plast 2: Traefik ForwardAuth

Vsaka zahteva na primerek OpenClaw potuje prek Traefik, našega reverse proxyja. Preden posreduje zahtevo, Traefik pokliče auth-gate končno točko, ki preveri podpisani piškotek.

To je čista HMAC verifikacija. Nič klicev v bazo podatkov. Nič omrežnih zahtev na Supabase ali katero koli drugo storitev. Odločitev se sprejme v mikrosekundah.

Če je piškotek neveljaven, potekel ali manjka, se zahteva zavrne na ravni posredniškega strežnika. Zahteva nikoli ne doseže OpenClaw. To je ključna razlika. V tipični namestitvi mora OpenClaw sam odločiti, ali dovoli ali zavrne zahtevo. Če ima OpenClaw ranljivost v svoji logiki avtentikacije, se napadalec lahko prebije skozi. V naši namestitvi OpenClaw nikoli ne vidi neavtenticiranega prometa.

Plast 3: Vbrizgavanje žetona prehoda

Vsak primerek OpenClaw ima vgrajen žeton prehoda. To je isti žeton, ki bi ga sami konfigurirali pri self-hostingu. Razlika je v tem, kako doseže pod.

V tipični self-hosting namestitvi prilepite žeton v konfiguracijsko datoteko, ga morda shranite v okoljsko spremenljivko in upate, da nikoli ne uhaja. Vaš brskalnik ga mora pošiljati z vsako zahtevo, kar je natanko način, kako ga je CVE-2026-25253 izločil.

V naši namestitvi se kriptografsko naključen 32-bajtni žeton ustvari ob kreiranju primerka in shrani kot Kubernetes Secret. Traefik ga vbrizga kot Authorization glavo ob vsaki posredovani zahtevi. Brskalnik ga nikoli ne vidi. Nikoli se ne pojavi v konfiguracijski datoteki, ki bi jo morda pomotoma potrdili. Nikoli ne potuje prek WebSocket, ki bi ga zlonamerna stran lahko ugrabila. Žeton obstaja, ampak živi v celoti znotraj grozda in se premika samo med Traefik in podom.

Zakaj ta arhitektura blokira CVE-2026-25253

Napadalna veriga CVE-2026-25253 izloči žeton prehoda prek WebSocket. Poglejmo, kaj se zgodi, ko ta napad cilja na primerek OpenClaw.rocks:

  1. Napadalčev JavaScript poskuša odpreti WebSocket na OpenClaw pod.
  2. Povezava najprej zadene Traefik. Traefik preveri podpisani piškotek.
  3. Zlonamerna stran je na drugem izvoru. Piškotek SameSite=Lax se ne pošilja pri WebSocket povezavah prek različnih izvorov. Zahteva se zavrne.
  4. Tudi če bi bil piškotek nekako priložen, ga napadalčeva stran ne more prebrati (HttpOnly). Ni ničesar za izločanje.
  5. Tudi če bi piškotek uhajal, ne vsebuje bearer žetona. Bearer žeton vbrizga Traefik, nikoli ni izpostavljen brskalniku. Napadalec ga ne more rekonstruirati.

Ni ničesar za krajo, ker brskalnik nikoli ne poseduje pravih poveril. Napadalna površina, ki jo CVE-2026-25253 izkorišča, preprosto ne obstaja.

Varnostni kontrolni seznam OpenClaw za self-hosterje

Vsi ne želijo upravljanega gostovanja, in to je v redu. Če upravljate svoj primerek OpenClaw, tukaj je praktičen kontrolni seznam za leto 2026.

Ali je Vaš žeton za avtentikacijo prehoda omogočen? Zaženite openclaw doctor za preverjanje. Če je avtentikacija prehoda onemogočena, kdor koli lahko doseže vrata 18789, nadzoruje Vašega agenta in vse, do česar ima dostop.

Ali je Vaš primerek za reverse proxyjem s TLS? Nešifriran HTTP pomeni, da kdor koli na omrežni poti lahko prebere Vaš žeton prehoda med prenosom. Uporabite nginx, Caddy ali Traefik z veljavnim TLS certifikatom. Let’s Encrypt je brezplačen.

Ali ste na najnovejši različici? CVE-2026-25253 je bila popravljena v v2026.1.29. CVE-2026-27001 je bila popravljena v v2026.2.15. Če poganjate starejšo različico, posodobite zdaj. Vodnik za utrjevanje Adversa AI pokriva dodatne korake.

Ali ste pregledali nameščene veščine? Kampanja ClawHavoc je ciljala specifično ClawHub. Preverite vsako veščino, ki ste jo namestili. Če je niste namestili sami, jo odstranite in preverite vir.

Ali Vaš reverse proxy preverja WebSocket izvore? To je specifičen vektor, ki ga je CVE-2026-25253 izkoristil. Vaš reverse proxy bi moral zavračati WebSocket nadgraditvene zahteve z nepričakovanih izvorov. Varnostna dokumentacija OpenClaw vsebuje konfiguracijske primere.

Ali se Vaša avtentikacija zgodi pred ali po tem, ko zahteva doseže OpenClaw? To je najpomembnejše vprašanje. Če OpenClaw upravlja svojo avtentikacijo, jo ranljivost v OpenClaw lahko zaobide. Če Vaš reverse proxy upravlja avtentikacijo, zahteva nikoli ne doseže OpenClaw, razen če je že preverjena.

Česar ne rešujemo

Poštenost je tu pomembna. Avtentikacija na ravni posredniškega strežnika rešuje varnost prehoda. Ne rešuje vsega.

Vbrizgavanje pozivov je problem na ravni aplikacije. Spretno oblikovano sporočilo lahko potencialno pretenta agenta, da izvede nenamerna dejanja. To je aktivno raziskovalno področje v celotni AI industriji in noben ponudnik gostovanja tega danes ne more popolnoma preprečiti.

Zlonamerno vedenje veščin se izvaja v kontekstu agenta. Če namestite veščino, ki izloča podatke prek dovoljenega izhodnega HTTPS prometa, avtentikacija proxyja tega ne more zaustaviti. Kar naša infrastruktura počne, je omejevanje polmera eksplozije: vsak primerek teče v lastnem Kubernetes podu z omrežno izolacijo, odstranjenimi capabilities, seccomp in datotečnim sistemom root samo za branje. Kompromitiran agent ne more doseči drugih agentov ali gostiteljskega sistema. Kubernetes operator uveljavlja te privzete nastavitve za vsak primerek.

Zaupanje ponudniku LLM je odvisno od Vašega paketa. Če uporabljate lastne API ključe (paket Light), Vaši pogovori potujejo prek ponudnika, ki ga konfigurirate, in velja njegova politika zasebnosti. Pri paketu Pro usmerjamo promet prek lastnega AI prehoda z vnaprej konfiguriranimi ponudniki. Ni Vam treba predajati API ključev primerku OpenClaw ali zaupati, da je ključ tretje osebe varno shranjen. Prehod upravlja poverila ponudnikov v Vašem imenu, Vi pa jih nikoli ne vidite ali neposredno upravljate.

Varnost deluje v plasteh. Mi skrbimo za infrastrukturne plasti. Izzivi na ravni aplikacije so resnični in vredni razumevanja.

Varnost je arhitekturna odločitev

Varnostna kriza OpenClaw ni o enem CVE ali eni seriji zlonamernih veščin. Gre za orodje, zasnovano za localhost, ki ga na internet namešča na stotisoče ljudi, z avtentikacijo, ki se dogaja znotraj aplikacije, ki naj bi jo ščitila.

Premik avtentikacije na raven posredniškega strežnika ni funkcionalnost. Je arhitekturna odločitev. Pomeni, da ko se pojavi naslednji CVE OpenClaw (in se bo), bodo avtenticirane zahteve še vedno preverjene, preden dosežejo aplikacijo. Napadalna površina je strukturno manjša.

To odločitev smo sprejeli prvi dan. Vsak primerek OpenClaw.rocks teče za podpisanimi piškotki, ForwardAuth verifikacijo in bearer žetoni za vsak primerek. Brez žetonov prehoda v brskalniku. Brez statičnih poveril za izločanje. Brez logike avtentikacije znotraj ranljive aplikacije.

Če želite prebrati več o tem, kako nameščamo OpenClaw na Kubernetes s popolnim varnostnim utrjevanjem, to vodnik za namestitev podrobno obravnava.

Če preprosto želite delujočega agenta, ki ostane varen brez razmišljanja o čemer koli od tega, natanko to smo zgradili.

Začnite na OpenClaw.rocks ali raziščite odprtokodni Kubernetes operator, če raje upravljate lastno infrastrukturo.