OpenClaw: Najväčšia bezpečnostná nočná mora v AI?
Včera som písal o tom, ako jeden rakúsky vývojár vybudoval najrýchlejšie rastúci open-source projekt v histórii GitHubu.
Dnes príde druhá strana mince. Pretože OpenClaw nie je len inšpiratívny príbeh o solo vývojárovi — je to zároveň učebnicový príklad toho, čo sa stane, keď dáte AI agentovi prístup ku všetkému a bezpečnosť riešite až potom.
Spoločnosť Cisco to vo svojom blogu povedala na rovinu: “Z pohľadu funkcionality je OpenClaw prelomový. Toto je všetko, čo vývojári osobných AI asistentov vždy chceli dosiahnuť. Z pohľadu bezpečnosti je to absolútna nočná mora.”
1-Click Remote Code Execution: Stačí kliknúť na link
Začnime tým najhorším. Začiatkom februára 2026 bezpečnostní výskumníci z firmy DepthFirst odhalili kritickú zraniteľnosť CVE-2026–25253 s CVSS skóre 8.8. Princíp útoku je brutálne jednoduchý.
OpenClaw má Control UI — webové rozhranie na správu agenta. Problém bol v tom, že toto rozhranie akceptovalo parameter gatewayUrl z URL query stringu bez akejkoľvek validácie. Automaticky sa pripojilo a poslalo autentifikačný token cez WebSocket.
Čo to znamená prakticky? Útočník vytvorí škodlivú webstránku. Obeť na ňu klikne. V milisekundách — bez ďalšej interakcie — stránka ukradne autentifikačný token, pripojí sa k lokálnemu OpenClaw gateway, vypne sandbox a všetky bezpečnostné opatrenia, a získa plné vzdialené vykonávanie kódu na počítači obete.
Najhoršie na tom? Fungovalo to aj na inštanciách bežiacich len na localhoste. Prehliadač obete inicioval spojenie zvnútra siete — klasický SOP (Same Origin Policy) WebSocket spojenia nevaliduje rovnako ako HTTP.
Steinberger to opravil vo verzii OpenClaw 2026.1.29. Belgické Centrum pre kybernetickú bezpečnosť vydalo advisory s najvyššou prioritou. University of Toronto poslala varovanie všetkým zamestnancom. Ale koľko z tých 150,000+ používateľov aktualizovalo?
923 gateway inštancií otvorených do internetu
Bezpečnostní výskumníci preskenovali internet a našli desaťtisíce verejne prístupných OpenClaw inštancií. Censys k 31. januáru 2026 zaznamenal vyše 21,000 odhalených inštancií — 21-násobný nárast za krátke obdobie. Iný sken identifikoval 923 gateway kompletne bez akejkoľvek autentifikácie. Žiadne heslo, žiadny token. Ktokoľvek sa mohol pripojiť.
Prečo? Veľa používateľov malo v konfigurácii nastavenie bind: "all" — často nevedome. To znamená, že ich OpenClaw bol prístupný z celého internetu. A keďže OpenClaw typicky má prístup k shellu, súborom, prehliadaču a API kľúčom, útočník mohol prevziať kontrolu nad celým počítačom. Alebo ešte horšie — extrahovať uložené API kľúče a používať tokeny obete na vlastné účely.
Nad 30% identifikovaných inštancií bežalo na Alibaba Cloud infraštruktúre, čo naznačuje koordinované experimentovanie alebo potenciálne bot farmy.
ClawHavoc: 341 škodlivých skills v marketplace
Toto je podľa mňa najznepokojujúcejšia časť celého príbehu. ClawHub je marketplace pre OpenClaw “skills” — rozšírenia, ktoré agentovi pridávajú nové schopnosti. Ktokoľvek s GitHub účtom starším ako týždeň mohol uploadnúť skill. Minimálna kontrola, žiadna automatická bezpečnostná previerka.
Bezpečnostná firma Koi Security urobila audit všetkých 2,857 skills na ClawHube. Výsledok: 341 bolo škodlivých. Z toho 335 patrilo do jednej koordinovanej kampane, ktorú nazvali ClawHavoc.
Ako to fungovalo? Útočníci vytvorili profesionálne vyzerajúce skills — solana-wallet-tracker, youtube-summarize-pro, polymarket-trader, yahoo-finance-pro. Dokumentácia vyzerala legitímne. Ale obsahovala sekciu “Prerequisites”, ktorá používateľa inštruovala stiahnuť a spustiť ďalší súbor. Na macOS to bol obfuskovaný shell skript, na Windows heslom-chránený ZIP archív.
Výsledok: inštalácia Atomic Stealer (AMOS) — komerčný malvér dostupný za $500–1,000 mesačne cez Telegram. AMOS dokáže extrahovať credentials z prehliadača, heslá z Keychainu, dáta z kryptomenových peňaženiek, SSH kľúče, API kľúče a prakticky čokoľvek z bežných priečinkov používateľa.
V prostredí, kde OpenClaw beží 24⁄7 s prístupom k emailu, kalendáru, messaging appkám a uloženým credentials, jeden škodlivý skill kompromituje úplne všetko, čo agent vidí, spracováva alebo ovláda.
Snyk preskenoval celý ClawHub nezávisle a našiel, že 7.1% všetkých skills — 283 z takmer 4,000 — obsahuje chyby, ktoré odhaľujú citlivé credentials. Ďalších 76 škodlivých payloadov bolo navrhnutých na krádež credentials, inštaláciu backdoorov a exfiltráciu dát.
Prompt injection: Email, ktorý hackne vášho agenta
Bezpečnostná firma Zenity demonštrovala útok, ktorý nevyžaduje žiadnu akciu od používateľa. Stačí, že OpenClaw spracuje škodlivý obsah — napríklad email.
Výskumník poslal špeciálne vytvorený email používateľovi, ktorý mal OpenClaw napojený na Gmail. Agent email spracoval, nasledoval vložené inštrukcie a automaticky preposlal posledných päť emailov na adresu útočníka. Používateľ na nič neklikol. Agent všetko urobil sám.
Iný proof-of-concept využil Google dokument s vloženým prompt injection payloadom. OpenClaw spracoval dokument, vytvoril novú integráciu s Telegram botom a útočník získal trvalý prístup. Palo Alto Networks to opísalo ako “smrtiaci kvartet” rizík: prístup k súkromným dátam, vystavenie nedôveryhodnému obsahu, schopnosť komunikovať externe a autonómne vykonávanie akcií. Každé z týchto rizík je samo o sebe zvládnuteľné. Spolu vytvárajú útočnú plochu, ktorú je extrémne ťažké zabezpečiť aj pri starostlivej konfigurácii.
A potom je tu perzistentná pamäť. Na rozdiel od jednorazových exploitov, útoky na OpenClaw môžu byť stavové — malicious payload nemusí spustiť akciu okamžite. Môže sa uložiť do pamäte agenta a aktivovať sa neskôr, keď sú splnené podmienky.
Účet $18.75 za jednu noc — len za kontrolu času
Okrem bezpečnosti je tu aj finančné riziko, o ktorom sa veľa nehovorí. OpenClaw “heartbeat” funkcia — cron job, ktorý kontroluje, či sú nejaké úlohy na spracovanie — posiela s každou požiadavkou celý kontext okna. Developer Benjamin De Kraker (bývalý xAI, pracoval na Groku) zdokumentoval, že jeho heartbeat kontroloval čas každých 30 minút. Každá požiadavka poslala ~120,000 tokenov kontextu na Claude Opus. Cena: ~$0.75 za požiadavku. Za jednu noc: $18.75. Za čo? Za to, že sa AI opakovane pýtalo: “Je už deň?”
Realistické odhady mesačných nákladov pre aktívne používanie: $300–750. Tech blogger Federico Viticci nahlásil 1.8 milióna tokenov za mesiac a účet $3,600. Jeden vývojár akumuloval $623 za mesiac len z bežného používania.
Problém je v tom, že najužitočnejšie funkcie — proaktívny monitoring emailov, automatické úlohy, persistentná pamäť — sú zároveň najdrahšie. Každá interakcia, každý heartbeat, každý prístup k pamäti spotrebúva tokeny z drahých modelov. A ak sa cron job zasekne v slučke, môžete spáliť $100 za jediný deň bez toho, aby ste si to všimli.
Čo to znamená pre firmy
Steinberger to povedal priamo v rozhovore pre The Pragmatic Engineer: OpenClaw je “bezplatný open-source hobby projekt, ktorý vyžaduje starostlivú konfiguráciu na to, aby bol bezpečný. Nie je určený pre netechnických používateľov.”
Toto je kľúčová veta, ktorú by si mal prečítať každý, kto uvažuje o nasadení AI agentov. Nie len OpenClaw — akýchkoľvek AI agentov s prístupom k firemným systémom.
Lekcie sú jasné. Po prvé, AI agent s prístupom ku všetkému je bezpečnostné riziko, nie feature. Čím viac oprávnení agent má, tým väčšia útočná plocha. Princíp najmenších oprávnení platí dvojnásobne. Po druhé, open marketplace bez kontroly je pozvánka pre útočníkov. ClawHub dokazuje, že stačí profesionálna dokumentácia a atraktívny názov na to, aby ľudia spustili malvér. Rovnaký problém majú npm, PyPI, VS Code extensions — ale pri AI agentoch sú dôsledky oveľa horšie, pretože agent má prístup ku všetkému. Po tretie, prompt injection je nevyriešený problém celého odvetvia. Nie je to bug špecifický pre OpenClaw. Je to fundamentálny problém všetkých AI systémov, ktoré spracovávajú externý vstup a majú schopnosť konať. Kým toto nebude vyriešené, každý AI agent s prístupom k emailu je potenciálny vektor útoku. A po štvrté, náklady na AI agentov sú nepredvídateľné. Bez tvrdých limitov na API spending a starostlivej konfigurácie modelov pre rôzne úlohy sa náklady rýchlo vymknú kontrole.
OpenClaw je fascinujúci projekt. Ukazuje budúcnosť AI asistentov — lokálne, autonómne, integrované do existujúcich nástrojov. Ale zároveň je varovným príbehom pre každého, kto sa ponáhľa nasadiť AI agentov bez toho, aby najprv vyriešil bezpečnosť. A to platí rovnako pre hobby projekty ako pre enterprise riešenia.
Originally published on Medium