Wzrost OpenClaw był niezwykły. Ale z 180 000 gwiazdek na GitHubie i wdrożeniami w 82 krajach przychodzi mniej komfortowa rzeczywistość: projekt stał się celem. A rządy zaczęły zwracać uwagę.
Ten artykuł obejmuje krajobraz bezpieczeństwa na luty 2026 roku — odkryte podatności, reakcje rządów, zakazy korporacyjne i to, co nowa struktura fundacji może oznaczać dla zarządzania bezpieczeństwem w przyszłości.
Podatność, która zmieniła wszystko
Na początku lutego 2026 roku badacze ujawnili CVE-2026-25253 — krytyczną podatność na zdalne wykonanie kodu jednym kliknięciem z oceną CVSS 8.8 (Wysoka).
Błąd znajdował się w Control UI OpenClaw. Interfejs automatycznie ufał każdemu URL bramy przekazanemu jako parametr zapytania i otwierał połączenie WebSocket zawierające zapisany token uwierzytelniania użytkownika. Atakujący mógł stworzyć złośliwy link, który po kliknięciu przez zalogowanego użytkownika:
- 1.Przekierowywał Control UI do bramy kontrolowanej przez atakującego
- 2.Wyciągał token uwierzytelniania przez handshake WebSocket
- 3.Używał skradzionego tokena do wykonywania dowolnych poleceń na instancji OpenClaw ofiary
Bariera eksploatacji była niska. Żadnych specjalnych narzędzi — tylko spreparowany URL wysłany mailem, czatem lub przez media społecznościowe. Łatka pojawiła się w v2026.1.29 dnia 30 stycznia 2026. Nie potwierdzono żadnej eksploatacji na wolności, ale prostota wektora ataku wzbudziła poważny niepokój.
Liczby: 42 900 odsłoniętych instancji
Zespół STRIKE firmy SecurityScorecard przeprowadził globalny skan i znalazł 42 900 instancji OpenClaw wystawionych na publiczny internet w 82 krajach. Z nich 15 200 było podatnych na zdalne wykonanie kodu — nie zostały zaktualizowane lub działały z domyślnymi konfiguracjami.
Dla perspektywy: 15 200 maszyn, które potencjalnie każdy w internecie mógł przejąć jednym żądaniem HTTP.
Oddzielnie badacze z Giskard zademonstrovali wycieki danych i podatności na wstrzykiwanie promptów w wdrożonych instancjach. Wykazali, że starannie skonstruowany prompt mógł wyciągnąć prywatne klucze API, zmienne środowiskowe i inne sekrety z działającego agenta OpenClaw. W ich testach prywatne klucze zostały wyciągnięte w mniej niż pięć minut.
Być może najbardziej niepokojące: 93% publicznie odsłoniętych instancji miało krytyczne podatności na obejście uwierzytelniania. Domyślna konfiguracja, jak się okazało, nie jest wystarczająco bezpieczna dla publicznej ekspozycji — o czym dokumentacja teraz wyraźnie ostrzega.
Problem złośliwych skilli
Zespół badawczy Bitdefender przeanalizował ClawHub — publiczny rejestr skilli OpenClaw — i znalazł około 900 złośliwych skilli na łączną liczbę około 4 500 — około 20% wszystkich opublikowanych pakietów.
Te złośliwe skille obejmowały wszystko, od złodziei danych uwierzytelniających przebranych za narzędzia użytkowe po backdoory dające atakującym trwały dostęp do maszyny hosta. Niektóre były na tyle wyrafinowane, że przechodziły pobieżny przegląd kodu, z zaciemnionymi ładunkami aktywującymi się dopiero po instalacji.
To powtarza problemy obserwowane w npm, PyPI i innych rejestrach pakietów, ale ze znacznie wyższą stawką: skille OpenClaw często działają z uprawnieniami systemowymi i mają dostęp do kont komunikatorów, kluczy API i danych osobowych.
Reakcja Chin: Ostrzeżenie MIIT
Chińskie Ministerstwo Przemysłu i Technologii Informacyjnych (MIIT) wydało zalecenie bezpieczeństwa dotyczące konkretnie OpenClaw, ostrzegając firmy, by sprawdziły, jak ich instancje są wystawione na sieci publiczne. Zalecenie nie sięgało pełnego zakazu, ale rekomendowało:
- •Audyt wszystkich wdrożeń OpenClaw pod kątem publicznej ekspozycji
- •Wdrożenie segmentacji sieci w celu izolacji instancji OpenClaw
- •Sprawdzenie zainstalowanych skilli pod kątem znanych złośliwych pakietów
- •Aktualizację do najnowszej wersji z poprawkami
To godne uwagi, ponieważ Chiny jednocześnie przyjęły OpenClaw na poziomie platform — Alibaba Cloud, Tencent Cloud, Volcano Engine i Baidu uruchomiły usługi hostingu OpenClaw. Ostrzeżenie MIIT sygnalizuje, że rząd dostrzega zarówno szansę, jak i ryzyko.
Reakcja Korei Południowej: Zakazy korporacyjne
Korea Południowa przyjęła bardziej agresywną postawę. Kilka dużych firm technologicznych wydało wewnętrzne zakazy:
- •Kakao ogłosiło ograniczenia w korzystaniu z OpenClaw na urządzeniach służbowych w celu ochrony zasobów informacyjnych
- •Naver wydał całkowity wewnętrzny zakaz OpenClaw
- •Karrot (당근마켓) całkowicie zablokował dostęp do OpenClaw
Reakcja Korei była podyktowana obawami o eksfiltrację danych — konkretnie ryzykiem, że agent AI z dostępem do systemów korporacyjnych mógłby wyciekać wrażliwe informacje przez integracje z komunikatorami. Gdy twój asystent AI może czytać Slacka, maile i kalendarz, a następnie przekazywać informacje przez WhatsApp lub Telegram, powierzchnia ataku dla szpiegostwa korporacyjnego rozszerza się dramatycznie.
Co przejście do fundacji oznacza dla bezpieczeństwa
14 lutego 2026 roku twórca OpenClaw Peter Steinberger ogłosił dołączenie do OpenAI, a projekt przechodzi w niezależną fundację 501(c)(3) ze wsparciem OpenAI.
Dla bezpieczeństwa rodzi to zarówno nadzieje, jak i pytania:
Scenariusz optymistyczny: Struktura fundacji ze wsparciem korporacyjnym mogłaby sfinansować dedykowanych inżynierów bezpieczeństwa, powołać formalny zespół reagowania na incydenty, wdrożyć obowiązkowe procesy przeglądu skilli dla ClawHub i przeprowadzać regularne audyty bezpieczeństwa. To rzeczy, których pojedynczy opiekun projektu czy społeczność wolontariuszy z trudem mogą zapewnić.
Scenariusz ostrożny: Zaangażowanie OpenAI tworzy potencjalny konflikt interesów. Czy decyzje dotyczące bezpieczeństwa będą podejmowane wyłącznie na podstawie kryteriów technicznych, czy względy komercyjne wpłyną na to, co i kiedy zostanie ujawnione? Niezależność fundacji zostanie przetestowana, gdy poważna podatność po raz pierwszy dotknie własnych interesów OpenAI.
- •Finansowany pełnoetatowy zespół bezpieczeństwa z polityką publicznego ujawniania
- •Obowiązkowe podpisywanie kodu i przegląd skilli ClawHub
- •Automatyczne skanowanie podatności w pipeline CI/CD
- •Program bug bounty z istotnymi nagrodami
- •Regularne audyty bezpieczeństwa przez firmy trzecie z publikacją wyników
Co powinni teraz zrobić użytkownicy
Jeśli korzystasz z OpenClaw, natychmiastowe kroki są jasne:
- 1.**Zaktualizować**: Upewnij się, że masz wersję v2026.2.21 lub nowszą
- 2.**Nie wystawiać na publiczny internet**: Używaj VPN lub tunelu SSH do zdalnego dostępu
- 3.**Audytować skille**: Sprawdź każdy zainstalowany skill, szczególnie od nieznanych autorów
- 4.**Włączyć uwierzytelnianie**: Nie uruchamiaj z domyślnymi danymi logowania
- 5.**Monitorować logi dostępu**: Obserwuj nietypowe wzorce połączeń
- 6.**Segmentacja sieci**: Izoluj swoją instancję OpenClaw od wrażliwych systemów
Szerszy obraz
Wyzwania bezpieczeństwa OpenClaw nie są wyjątkowe — to nieuniknione bóle wzrostu każdego projektu open source, który w trzy miesiące przechodzi od weekendowego projektu do krytycznej infrastruktury. npm miał złośliwe pakiety. Docker Hub miał kryptominery. PyPI miał ataki typosquattingowe.
Co jest tu inne, to stawka. Agenci OpenClaw mają dostęp do kont komunikatorów, poczty, kalendarzy, urządzeń smart home i potencjalnie systemów korporacyjnych. Skompromitowana instancja OpenClaw to nie tylko zhakowany serwer — to skompromitowane cyfrowe życie.
Przejście do fundacji to najlepsza szansa projektu na zbudowanie potrzebnej infrastruktury bezpieczeństwa. Czy ten potencjał się zrealizuje, zależy od tego, jak poważnie nowa struktura zarządzania potraktuje bezpieczeństwo jako priorytet pierwszej klasy, a nie jako refleksję po fakcie.
Będziemy nadal śledzić ten obszar i informować o rozwoju wydarzeń.