Tydzień, który zmienił wszystko
Między 24 lutego a 2 marca 2026 roku OpenClaw zmierzył się z kaskadą incydentów bezpieczeństwa, które wystawiły na próbę odporność projektu, zaufanie społeczności i zdolność do reagowania pod presją. Ten wpis to pełne rozliczenie tego, co się wydarzyło, jak zespół zareagował i co się zmieniło w rezultacie.
Incydent 1: Przejęcie WebSocket bez kliknięcia (CVE-2026-25253)
Co się stało
26 lutego badacze bezpieczeństwa ujawnili krytyczną lukę niewymagającą interakcji: dowolna złośliwa strona internetowa mogła cicho przejąć pełną kontrolę nad agentem OpenClaw użytkownika bez jakiegokolwiek działania z jego strony — bez kliknięć, bez wtyczek, bez rozszerzeń.
Jak to działało
- 1.Użytkownik odwiedza stronę internetową zawierającą złośliwy JavaScript
- 2.Skrypt otwiera połączenie WebSocket do bramy OpenClaw na
localhost - 3.Skrypt brutalnie łamie hasło bramy z prędkością setek prób na sekundę
- 4.Limiter prędkości bramy całkowicie pomijał połączenia z localhost — nieudane próby nie były liczone, ograniczane ani logowane
- 5.Po uwierzytelnieniu skrypt cicho rejestruje się jako zaufane urządzenie
- 6.Atakujący uzyskuje pełną kontrolę: odczyt wiadomości, wykonywanie poleceń, dostęp do plików, wykradanie kluczy API
Odpowiedź
Zespół bezpieczeństwa OpenClaw zaklasyfikował to jako wysokie zagrożenie (CVSS 8.8) i wydał łatkę w wersji 2026.2.25 w ciągu 24 godzin od ujawnienia. Poprawka:
- •Usunięto wyjątek localhost z limitu prędkości
- •Dodano sprawdzanie źródła WebSocket
- •Wprowadzono logowanie prób połączeń ze wszystkich źródeł
- •Wymagano ponownego uwierzytelnienia dla nowych rejestracji urządzeń
Wpływ
Nie ma potwierdzonych dowodów na wykorzystanie przed ujawnieniem, ale okno podatności wynosiło około 6 tygodni (od momentu wprowadzenia wyjątku localhost w v2026.1.12).
Incydent 2: Kryzys łańcucha dostaw ClawHub
Co się stało
Równocześnie z luką WebSocket, badacze bezpieczeństwa z wielu firm opublikowali wyniki pokazujące, że około 20% wszystkich umiejętności wymienionych na ClawHub — 341 z około 1700 — było złośliwych lub zawierało podejrzane zachowanie.
Co robiły złośliwe umiejętności
- •Wykradanie danych: Cichy przesył zmiennych środowiskowych, kluczy API i logów konwersacji na zewnętrzne serwery
- •Zbieranie poświadczeń: Przechwytywanie tokenów uwierzytelniających dla połączonych usług (Slack, Discord, Gmail)
- •Instalacja backdoorów: Ustanawianie trwałych odwrotnych powłok w systemie hosta
- •Wstrzykiwanie promptów: Manipulowanie zachowaniem agenta, by służył celom atakującego, wyglądając normalnie dla użytkownika
Odpowiedź
OpenClaw zintegrował skanowanie VirusTotal w potoku zgłoszeń ClawHub. Każda nowa umiejętność i każda aktualizacja umiejętności jest teraz:
- 1.Skanowana przez wielosilnikową analizę VirusTotal
- 2.Poddawana statycznej analizie kodu pod kątem znanych złośliwych wzorców
- 3.Sprawdzana przez ludzkiego moderatora przed publikacją (dla umiejętności żądających podwyższonych uprawnień)
- 4.Oznaczana wynikiem zaufania widocznym dla użytkowników przed instalacją
Dodatkowo wszystkie 341 zidentyfikowanych złośliwych umiejętności zostało usuniętych, ich wydawcy zostali zbanowani, a dotknięci użytkownicy zostali powiadomieni.
Incydent 3: Infostealer plików konfiguracyjnych
Co się stało
Oddzielna kampania atakowała użytkowników OpenClaw poprzez inżynierię społeczną: fałszywe "poradniki optymalizacji" i "narzędzia wydajnościowe" dystrybuowane przez GitHub, Reddit i chińskie fora deweloperów zawierały infostealery celujące konkretnie w:
- Pliki konfiguracyjne OpenClaw (.clawrc)