Preko 135.000 OpenClaw instanci je izloženo na internetu. Kritična ranjivost omogućava daljinsko izvršavanje koda jednim klikom kroz bilo koji pregledač. Istraživači su pronašli preko 1.100 zlonamernih veština koje distribuiraju Atomic Stealer na ClawHub platformi. Microsoft je objavio blog post pod naslovom “Running OpenClaw Safely” koji počinje konstatacijom da “za većinu okruženja, odgovarajuća odluka može biti da se ne implementira.” Nacionalni centar za sajber bezbednost Belgije izdao je vladino upozorenje. Cisco je nazvao personalne AI agente poput OpenClaw “bezbednosnom noćnom morom.”

Ovo nije zastrašivanje. Ovo su činjenice od nezavisnih bezbednosnih istraživača, korporativnih dobavljača i vladinih agencija. Ako pokrećete OpenClaw instancu, ovo vas se tiče.

Šta je krenulo naopako

OpenClaw je dizajniran za localhost. Instalirate ga na svoju mašinu, razgovarate s njim kroz lokalni veb interfejs i on obavlja poslove u vaše ime. Bezbednosni model je pretpostavljao da je osoba koja pristupa interfejsu ona koja sedi za tastaturom.

Zatim je OpenClaw porastao sa 9.000 na preko 200.000 GitHub zvezdica za svega nekoliko nedelja. Ljudi su ga postavili na VPS mašine, izložili internetu i povezali sa svojim kanalima za razmenu poruka. Pretpostavka o localhost-u se raspala na velikom obimu. (Pokrili smo ceo spektar opcija za postavljanje i njihove bezbednosne kompromise u posebnom vodiču.)

CVE-2026-25253: daljinsko izvršavanje koda jednim klikom

Najteža ranjivost je CVE-2026-25253, sa CVSS ocenom 8.8. OpenClaw nije validirao WebSocket origin zaglavlja. Evo kako napad funkcioniše:

  1. Žrtva posećuje zlonamernu veb stranicu (ili stranicu sa zlonamernim oglasom).
  2. JavaScript na toj stranici otvara WebSocket konekciju ka localhost:18789, podrazumevanom OpenClaw portu.
  3. Pošto je pregledač na istoj mašini, konekcija zaobilazi sva pravila zaštitnog zida.
  4. Napadač eksfiltrira gateway token za autentifikaciju kroz WebSocket.
  5. Sa tokenom, napadač ima punu kontrolu: pristup komandnoj liniji, čitanje/pisanje datoteka i izvršavanje komandi.

Vezivanje za localhost ne pomaže. Napad se odvija kroz sam pregledač žrtve. Analiza SOCRadar-a prolazi kroz ceo lanac.

Zlonamerne veštine i napadi na lanac snabdevanja

Istraživači su pronašli 341 zlonamernu veštinu na ClawHub platformi početkom februara. Taj broj je od tada porastao na preko 1.100. Kampanja ClawHavoc distribuira Atomic Stealer kroz veštine koje izgledaju legitimno ali sadrže skrivene korake za izvršavanje komandi. Veštine su Markdown datoteke. Skrivenu instrukciju koja kaže “pokreni ovu komandu u komandnoj liniji” je lako ugraditi i teško primetiti.

Dana 17. februara, napad na lanac snabdevanja Cline je otišao korak dalje. Kompromitovani npm token je korišćen za objavljivanje verzije Cline CLI koja je tiho instalirala OpenClaw na mašine programera. Napad je bio usmeren na sam proces izgradnje.

Istraživači su sada otkrili šest dodatnih ranjivosti u jezgru OpenClaw platforme, uključujući CVE-2026-27001. OWASP Top 10 za agentske aplikacije sada navodi mnoge od ovih obrazaca kao vodeće rizike. Kako to formuliše analiza kompanije Conscia, ovo je punopravna bezbednosna kriza.

Zašto gateway token nije dovoljan

Ugrađena autentifikacija OpenClaw platforme je statički token. Postavite ga jednom i svaki zahtev mora da ga uključi. Bolje je nego ništa. Ali ima fundamentalna ograničenja.

Statički tokeni ne ističu. Ako token procuri (kroz CVE-2026-25253, kroz logove, kroz zlonamernu veštinu koja čita promenljive okruženja), napadač ima trajni pristup dok ne primetite i ručno ga zamenite.

Statički tokeni ne mogu biti ograničeni. Gateway token daje pun pristup. Ne postoji način da nekome date pristup samo za čitanje ili ograničite šta autentifikovana sesija može da radi.

Statički tokeni ne mogu biti vezani za korisnika. Ako tri osobe dele token, nemate revizijski trag o tome ko je šta uradio.

Većina vodića za postavljanje na VPS preporučuje stavljanje OpenClaw platforme iza nginx-a sa osnovnom autentifikacijom. To je bolje, ali je i dalje statički akreditiv. Ako ga neko uhvati (prisluškivanje mreže na nekriptovanoj konekciji, kompromitovana konfiguracija reverznog proksija, procurela .htpasswd datoteka), unutra je.

Fundamentalni problem je dublji: autentifikacija se dešava unutar aplikacije. Ako aplikacija ima ranjivost, autentifikacija može biti zaobiđena. CVE-2026-25253 je to tačno demonstrirala. Gateway token je postojao. Ranjivost ga je ekstrahovala pre nego što je aplikacija uopšte imala priliku da ga verifikuje.

Zato smo izgradili OpenClaw.rocks sa autentifikacijom na nivou proksija. Odeljci ispod objašnjavaju arhitekturu detaljno. Ako samo želite bezbednu instancu bez samostalnog pravljenja, pogledajte naše planove.

Kako obezbeđujemo gateway

Na OpenClaw.rocks, autentifikacija se dešava na nivou proksija, pre nego što zahtev uopšte stigne do OpenClaw pod-a. Ovo je strukturna razlika, ne samo razlika u konfiguraciji.

Evo troslojne arhitekture.

Sloj 1: Potpisani gateway kolačići (HMAC-SHA256)

Kada pristupate svojoj OpenClaw instanci kroz OpenClaw.rocks kontrolnu tablu, server generiše potpisan kolačić. Format je:

{expiry}.{userId}.{instanceId}.{hmac_base64url}

Kolačić ima TTL od 4 sata i automatski se osvežava svakih 45 minuta. Ograničen je na putanju /gw/{instanceId}, tako da se jedan kolačić ne može koristiti za pristup drugoj instanci. On je HttpOnly (JavaScript ne može da ga pročita), Secure (šalje se samo preko HTTPS) i SameSite=Lax (ne šalje se na cross-origin zahteve). HMAC se verifikuje korišćenjem vremenski bezbednog poređenja radi sprečavanja vremenskih napada.

Čak i ako neko presretne vrednost kolačića, ne može da falsifikuje novi bez tajnog ključa za potpisivanje. A sam kolačić ne sadrži akreditive koji direktno pružaju pristup OpenClaw platformi.

Sloj 2: Traefik ForwardAuth

Svaki zahtev ka OpenClaw instanci prolazi kroz Traefik, naš reverzni proksi. Pre prosleđivanja zahteva, Traefik poziva auth-gate krajnju tačku koja verifikuje potpisani kolačić.

Ovo je čista HMAC verifikacija. Nula poziva baze podataka. Nula mrežnih zahteva ka Supabase ili bilo kom drugom servisu. Odluka se donosi u mikrosekundama.

Ako je kolačić nevažeći, istekao ili nedostaje, zahtev se odbija na nivou proksija. Zahtev nikada ne stiže do OpenClaw platforme. Ovo je ključna razlika. U tipičnom podešavanju, OpenClaw sam mora da odluči da li da dozvoli ili odbije zahtev. Ako OpenClaw ima ranjivost u svojoj logici autentifikacije, napadač može da prođe. U našem podešavanju, OpenClaw nikada ne vidi neautentifikovani saobraćaj.

Sloj 3: Injekcija gateway tokena

Svaka OpenClaw instanca ima ugrađeni gateway token. To je isti token koji biste sami konfigurisali da radite selfhosting. Razlika je u tome kako stiže do pod-a.

U tipičnom podešavanju za selfhosting, nalepite token u konfiguracionu datoteku, možda ga sačuvate u promenljivoj okruženja i nadate se da nikada neće procuriti. Vaš pregledač mora da ga šalje sa svakim zahtevom, što je tačno način na koji ga je CVE-2026-25253 eksfiltrirala.

U našem podešavanju, kriptografski nasumičan 32-bajtni token se generiše pri kreiranju instance i čuva kao Kubernetes Secret. Traefik ga ubacuje kao Authorization zaglavlje u svakom prosleđenom zahtevu. Pregledač ga nikada ne vidi. Nikada se ne pojavljuje u konfiguracionoj datoteci koju biste mogli slučajno da komitujete. Nikada ne putuje preko WebSocket-a koji bi zlonamerna stranica mogla da presretne. Token postoji, ali živi potpuno unutar klastera, krećući se samo između Traefik-a i pod-a.

Zašto ova arhitektura blokira CVE-2026-25253

Lanac napada CVE-2026-25253 eksfiltrira gateway token preko WebSocket-a. Hajde da prođemo kroz to šta se dešava kada se taj napad usmeri na OpenClaw.rocks instancu:

  1. JavaScript napadača pokušava da otvori WebSocket konekciju ka OpenClaw pod-u.
  2. Konekcija prvo pogađa Traefik. Traefik proverava potpisani kolačić.
  3. Zlonamerna stranica je na drugom origin-u. SameSite=Lax kolačić se ne šalje na cross-origin WebSocket konekcije. Zahtev se odbija.
  4. Čak i da je kolačić nekako priložen, stranica napadača ne može da ga pročita (HttpOnly). Nema šta da se eksfiltrira.
  5. Čak i da kolačić procuri, ne sadrži bearer token. Bearer token ubacuje Traefik i nikada nije izložen pregledaču. Napadač ga ne može rekonstruisati.

Nema šta da se ukrade jer pregledač nikada ne drži prave akreditive. Površina napada koju CVE-2026-25253 eksploatiše jednostavno ne postoji.

OpenClaw bezbednosna kontrolna lista za selfhosting

Ne žele svi upravljani hosting, i to je u redu. Ako pokrećete svoju OpenClaw instancu, evo praktične kontrolne liste za 2026.

Da li je vaš gateway token za autentifikaciju omogućen? Pokrenite openclaw doctor da proverite. Ako je gateway autentifikacija onemogućena, svako ko može da dosegne port 18789 kontroliše vašeg agenta i sve čemu ima pristup.

Da li je vaša instanca iza reverznog proksija sa TLS? Običan HTTP znači da svako na mrežnoj putanji može da pročita vaš gateway token u tranzitu. Koristite nginx, Caddy ili Traefik sa validnim TLS sertifikatom. Let’s Encrypt je besplatan.

Da li ste na najnovijoj verziji? CVE-2026-25253 je ispravljena u v2026.1.29. CVE-2026-27001 je ispravljena u v2026.2.15. Ako koristite stariju verziju, ažurirajte sada. Vodič za ojačavanje od Adversa AI pokriva dodatne korake.

Da li ste proverili instalirane veštine? Kampanja ClawHavoc bila je specifično usmerena na ClawHub. Proverite svaku veštinu koju ste instalirali. Ako je niste sami instalirali, uklonite je i verifikujte izvor.

Da li vaš reverzni proksi validira WebSocket origin-e? Ovo je specifičan vektor koji je CVE-2026-25253 eksploatisala. Vaš reverzni proksi bi trebalo da odbije WebSocket upgrade zahteve sa neočekivanih origin-a. OpenClaw bezbednosna dokumentacija ima primere konfiguracije.

Da li se vaša autentifikacija dešava pre ili posle nego što zahtev stigne do OpenClaw platforme? Ovo je najvažnije pitanje. Ako OpenClaw upravlja sopstvenom autentifikacijom, ranjivost u OpenClaw platformi je može zaobići. Ako vaš reverzni proksi upravlja autentifikacijom, zahtev nikada ne stiže do OpenClaw platforme osim ako već nije verifikovan.

Šta ne rešavamo

Iskrenost je ovde važna. Autentifikacija na nivou proksija rešava bezbednost gateway-a. Ne rešava sve.

Prompt injekcija je problem na nivou aplikacije. Vešto sastavljana poruka može potencijalno prevariti agenta da preduzme nenamerne akcije. Ovo je aktivna oblast istraživanja u celoj AI industriji i nijedan hosting provajder to danas ne može u potpunosti sprečiti.

Zlonamerno ponašanje veština se izvršava unutar konteksta agenta. Ako instalirate veštinu koja eksfiltrira podatke kroz dozvoljeni HTTPS izlaz, autentifikacija proksija to ne može da zaustavi. Ono što naša infrastruktura radi jeste ograničavanje radijusa eksplozije: svaka instanca radi u sopstvenom Kubernetes pod-u sa mrežnom izolacijom, uklonjenim mogućnostima, seccomp profilom i datotečnim sistemom root-a samo za čitanje. Kompromitovani agent ne može da dosegne druge agente ili host sistem. Kubernetes operator primenjuje ove podrazumevane vrednosti za svaku instancu.

Poverenje u LLM provajdera zavisi od vašeg plana. Ako koristite sopstvene API ključeve (Light plan), vaši razgovori prolaze kroz provajdera kojeg konfigurišete i važi njegova politika privatnosti. Na Pro planu, usmeravamo saobraćaj kroz naš sopstveni AI gateway sa unapred konfigurisanim provajderima. Ne morate da predajete svoje API ključeve OpenClaw instanci ili da verujete da je ključ treće strane bezbedno uskladišten. Gateway upravlja akreditivima provajdera u vaše ime i vi ih nikada ne vidite niti direktno upravljate njima.

Bezbednost je slojevita. Mi se brinemo o slojevima infrastrukture. Izazovi na nivou aplikacije su stvarni i vredi ih razumeti.

Bezbednost je arhitekturna odluka

Bezbednosna kriza OpenClaw platforme nije o jednoj CVE ili jednoj seriji zlonamernih veština. Radi se o alatu dizajniranom za localhost koji stotine hiljada ljudi postavljaju na internet, sa autentifikacijom koja se dešava unutar aplikacije koju bi trebalo da štiti.

Premeštanje autentifikacije na nivo proksija nije funkcionalnost. To je arhitekturna odluka. To znači da kada sledeća OpenClaw CVE bude objavljena (a biće), autentifikovani zahtevi se i dalje verifikuju pre nego što dotaknu aplikaciju. Površina napada je strukturno manja.

Doneli smo tu odluku od prvog dana. Svaka OpenClaw.rocks instanca radi iza potpisanih kolačića, ForwardAuth verifikacije i bearer tokena specifičnih za svaku instancu. Nema gateway tokena u pregledaču. Nema statičkih akreditiva za eksfiltraciju. Nema logike autentifikacije unutar ranjive aplikacije.

Ako želite da pročitate više o tome kako postavljamo OpenClaw na Kubernetes sa punim ojačavanjem bezbednosti, vodič za postavljanje to detaljno pokriva.

Ako samo želite pokrenuto agenta koji ostaje bezbedan bez razmišljanja o svemu ovome, to je ono što smo izgradili.

Započnite na OpenClaw.rocks ili istražite Kubernetes operator otvorenog koda ako preferirate da pokrenete sopstvenu infrastrukturu.