Vaša ekipa je ravnokar ocenila OpenClaw. Nekdo je pokazal demo, avtonomni agent se je povezal s Slackom, na zahtevo izvedel lupinski ukaz in vsi v sobi so bili navdušeni. Zdaj vprašanje pristane na vaši mizi: ali ga lahko uvedemo v produkcijo? Pošten odgovor je: še ne — ne brez namernega utrjevanja. Tukaj je, kar morate vedeti, preden ta pogovor gre kam dlje.
Kaj OpenClaw dejansko počne — in zakaj to oblikuje tveganje
OpenClaw je odprtokodenski AI agent, ki deluje lokalno in se poveže s sporočilnimi platformami — Slack, Teams, WhatsApp, Telegram, Signal — za izvajanje avtonomnih dejanj. Izvaja lupinske ukaze, nadzira brskalnike, upravlja e-pošto in koledar ter deluje na razporejevalniku srčnega utripa, ki mu omogoča ukrepanje brez poziva.
Ta kombinacija — stalno izvajanje, dostop do kanalov za sporočanje in lupinski privilegiji — je zmogljiva. Je pa tudi natanko profil, ki dela varnostne ekipe nelagodne. Vsaka zmogljivost, ki jo ima agent, je zmogljivost, ki jo želi doseči napadalec.
Projekt je v enem tednu zgodaj leta 2026 zrasel iz nič na 201.000 zvezdic na GitHubu in prek dveh milijonov obiskovalcev. Takšna hitrost sprejemanja je pomenila, da varnostna skupnost skoraj ni imela časa za revizijo kode, preden so podjetja začela s pilotnimi projekti.
Kritične ranljivosti, ki se že izkoriščajo
V tednih po tem, ko je orodje doseglo splošno ozaveščenost, je bilo odkritih več kritičnih ranljivosti. To niso teoretični robni primeri — izkoriščanje je aktivno in dokumentirano v velikem obsegu.
- CVE-2026-25253 (CVSS 8.8 — kritično): Nadzorni UI prebere URL prehoda neposredno iz niza poizvedbe in se samodejno poveže, pri čemer pošlje shranjeni avtentikacijski žeton. Ena samo skrbno pripravljena povezava — poslana po e-pošti ali vgrajena v spletno stran — zadostuje, da napadalec dobi popoln dostop do lokalnega prehoda. Od tam naprej lahko spreminja konfiguracijo in kliče privilegirane akcije. To je izvajanje oddaljene kode z enim klikom brez kakršne koli interakcije uporabnika poleg klika na povezavo. Popravek v v2026.1.29.
- CVE-2026-24763, CVE-2026-25157, CVE-2026-25475: Ranljivosti vbrizgavanja ukazov in kraje avtentikacijskih žetonov v več komponentah.
- Izpostavljenost v velikem obsegu: SecurityScorecard je odkril prek 135.000 primerkov OpenClaw, izpostavljenih javnemu internetu v 82 državah. Več kot 15.000 jih je bilo v času raziskave neposredno ranljivih za izvajanje oddaljene kode.
Ta števila niso napovedi. So opažene vrednosti v praksi.
Problem dobavne verige: Zlonamerne spretnosti
Funkcionalnost OpenClaw se razširja prek spretnosti — vtičnikov, ki so na voljo na tržnicah, kot sta ClawHub in SkillsMP. Tu se tveganje bistveno poveča.
Raziskovalci so analizirali 10.700 spretnosti na ClawHubu in ugotovili, da je bilo prek 820 zlonamernih. Kampanja ClawHavoc januarja 2026 je distribuirala spretnosti, ki so nosile koristne obremenitve Atomic Stealer, ki so tiho pobrali API ključe in namestili zapisovalnike tipk na ciljnih napravah.
Za podjetniške ekipe to pomeni, da tržnice spretnosti ni mogoče obravnavati kot skrbno urejen prodajalni z aplikacijami. Vsaka spretnost je potencialna vstopna točka v dobavno verigo. Ni temeljnega preverjanja, ki bi vas zaščitilo pred namestitvijo spretnosti, ki izgleda zakonita.
Privzeta konfiguracija je varnostna napaka
Takoj po namestitvi OpenClaw prinaša nastavitve, ki bi padle pri katerem koli standardnem podjetniškemu varnostnemu pregledu:
- Avtentikacija je privzeto onemogočena
- Prehod je privzeto dostopen iz interneta
- Povezave WebSocket so sprejete brez preverjanja izvora
To niso nejasne nastavitve, zakopane v dokumentaciji. So privzete vrednosti, s katerimi začneta vsak razvijalec in vsaka pilotna uvedba. Če je vaša ekipa vzpostavila testni primerek brez izrecne spremembe teh nastavitev, je bil izpostavljen od trenutka, ko je začel delovati.
Vbrizgavanje pozivov: Tveganje, ki ga ne morete odpraviti s popravkom
Ker OpenClaw obdeluje navodila iz sporočilnih platform, lahko nasprotniško oblikovana sporočila vbrizgajo ukaze. Napadalec, ki lahko sporočilo vnese v kanal, ki ga agent nadzoruje — ali ki lahko manipulira z vsebino, ki jo agent bere — mu lahko naroči eksfiltrirati podatke, brisati datoteke ali se bočno premikati po notranjih omrežjih.
Ta razred groženj nima številke CVE ali izdaje popravka. Je arhitekturne narave. Agent po zasnovi zaupa svojim vhodnim kanalom, to zaupanje pa je treba upravljati s politiko in konfiguracijo, ne le s posodobitvami programske opreme.
Za organizacije v reguliranih industrijah — zdravstvo, finance, pravo — ima to neposredne implikacije za skladnost. AI agent, ki obdeluje sporočila z osebno prepoznavnimi informacijami in ki ga je mogoče manipulirati z zunanjimi vnosi, ustvarja izpostavljenost v skladu z zahtevami GDPR, HIPAA in SOC 2.
Kontrolni seznam utrjevanja za podjetja
Če vaša ekipa napreduje z OpenClaw — bodisi v pilotnem ali produkcijskem kontekstu — teh deset korakov tvori minimalno izvedljivo varnostno osnovo. V podjetniškemu okolju noben od njih ni neobvezen.
- Takoj posodobite na v2026.1.29 ali novejšo različico. CVE-2026-25253 je oddaljeno izkoriščen brez kakršne koli interakcije uporabnika poleg klika na povezavo. To je prva akcija, ne zadnja točka na seznamu.
- Vežite prehod samo na zanko. Nastavite
gateway.bind na 127.0.0.1. Ves zunanji dostop usmerite prek avtenticiranega povratnega posrednika s TLS. Blokirajte ves dohodni promet, razen SSH, prek požarnega zidu.
- Omogočite avtentikacijo žetonov. Privzeto je izklopljena. Omogočite jo, nato takoj po posodobitvi zamenjajte vse žetone.
- Zaženite v Docker vsebnikih. Izolacija vsebnikov je edina najbolj vplivna varnostna izboljšava. Če zlonamerna spretnost izvede kodo, polmer eksplozije ostane znotraj vsebnika namesto da bi dosegel gostitelja ali notranje omrežje.
- Omogočite peskovnik orodij. Nastavite
sandbox.mode: all, da omejite, do česa imajo orodja dostop na gostiteljevem datotečnem sistemu in omrežju.
- Preverite vsako spretnost pred namestitvijo. Preglejte izvorno kodo, preverite zgodovino avtorja na ClawHubu, zaženite VirusTotal skeniranja prenesenih arhivov. Dajte prednost spretnostim s podpisanimi commiti in aktivnimi vzdrževalci. Vsako nepreverjeno spretnost obravnavajte kot nezaupanja vredno binarno datoteko.
- Uvedite politike in sezname dovoljenih za DM seznanjanje. Omogočite seznanjanje na vseh kanalih. V skupinskih klepetih uporabite omejitve omenjanja. Vse povezave, priponke in prilepljeno vsebino v katerem koli kanalu privzeto obravnavajte kot potencialno sovražno.
- Neprekinjeno nadzorujte dnevnike prehoda. Opozorite na WebSocket povezave z naslovi, ki niso zankovni. Beležite vse klice orodij. Nenavadne vzorce povezav obravnavajte kot kazalnike incidentov, ne kot ozadje šuma.
- Uporabite načelo najmanjših privilegijev na ravni OS. Zaženite postopek agenta z minimalnimi dovoljenji. Nikoli ne zaganjajte kot root. Omejite dostop do lupine samo na tisto, kar agent legitimno potrebuje za delovanje.
- Omogočite šifriranje celotnega diska. LUKS2 na Linuxu, FileVault na macOS. Shranjeni žetoni in konfiguracijske datoteke so dragoceni cilji v mirovanju.
Odločitev, ki jo mora sprejeti vaša varnostna ekipa
OpenClaw je resnično zmogljiva programska oprema. Številke sprejemanja odražajo resnično koristnost — ekipe z njo rešujejo resnične probleme. Vprašanje za vodstvo podjetniške varnosti in IT ni, ali orodje deluje, ampak ali se ga da varno upravljati znotraj vašega okolja in meja skladnosti.
Odgovor je pogojen. Primerek, utrjen v skladu z zgornjim kontrolnim seznamom, ki teče v vsebniku, s pregledanimi spretnostmi in kanali na seznam dovoljenih, predstavlja obvladljiv profil tveganja, ki ga je mogoče zagovarjati v varnostnem pregledu. Privzete namestitve ne moremo.
Z OpenClaw ravnajte enako kot s katero koli privilegirano storitvijo, ki se dotika produkcijskih sistemov: izolirajte jo, avtentificirajte jo, revidirajte jo in jo neprekinjeno nadzorujte. Ranljivosti so resnične, izkoriščanje je aktivno in koraki utrjevanja niso zapleteni — a morajo biti namerni. Privzete nastavitve so odgovornost. Utrjena različica je orodje. Samo ena od teh spada v vaše okolje.