Studie: Kritická chyba v Openclaw umožňuje úplné převzetí administrátorských práv

Klam „důvěryhodného prostředí“

Studie bezpečnostní firmy Certik zabývající se technologií Web3 z 31. března odhalila „systémový kolaps“ bezpečnostních hranic v rámci Openclaw, open-source platformy umělé inteligence (AI). Navzdory rychlému vzestupu na více než 300 000 hvězdiček na Githubu nasbíral tento framework za pouhé čtyři měsíce více než 100 CVE a 280 bezpečnostních upozornění, čímž vytvořil to, co výzkumníci nazývají „neomezenou“ útočnou plochou.

Zpráva poukazuje na zásadní architektonickou chybu: Openclaw byl původně navržen pro „důvěryhodná lokální prostředí“. S prudkým nárůstem popularity platformy však uživatelé začali tento framework nasazovat na servery připojené k internetu – což je přechod, na který nebyl software nikdy připraven.

Podle studie identifikovali výzkumníci několik vysoce rizikových slabých míst, která ohrožují uživatelská data, včetně kritické chyby CVE-2026-25253, která útočníkům umožňuje převzít plnou správcovskou kontrolu. Tím, že uživatele přimějí kliknout na jediný škodlivý odkaz, mohou hackeři ukrást autentizační tokeny a převzít kontrolu nad agentem AI.
Globální skenování mezitím odhalilo více než 135 000 instancí Openclaw vystavených internetu v 82 zemích. U mnoha z nich byla autentizace ve výchozím nastavení deaktivována, což vedlo k úniku API klíčů, historie chatů a citlivých přihlašovacích údajů v prostém textu. Zpráva také tvrdí, že repozitář platformy pro „dovednosti“ sdílené uživateli byl infiltrován malwarem a u stovek těchto rozšíření bylo zjištěno, že obsahují infostealery určené k odcizování uložených hesel a kryptoměnových peněženek.

Útočníci navíc nyní skrývají škodlivé pokyny v e-mailech a na webových stránkách. Když AI agent tyto dokumenty zpracovává, může být donucen k exfiltraci souborů nebo provedení neautorizovaných příkazů bez vědomí uživatele.

„Openclaw se stal případovou studií toho, co se stane, když se velké jazykové modely přestanou chovat jako izolované chatovací systémy a začnou působit v reálném prostředí,“ uvedl vedoucí auditor společnosti Penligent. „Sdružuje klasické softwarové chyby do běhového prostředí s vysokou delegovanou autoritou, čímž se dosah jakékoli jednotlivé chyby stává obrovským.“

Doporučení pro zmírnění rizik a bezpečnost

V reakci na tyto zjištění odborníci naléhají na přístup „bezpečnost na prvním místě“ jak pro vývojáře, tak pro koncové uživatele. Pro vývojáře studie doporučuje zavést formální modely hrozeb od prvního dne, prosazovat přísnou izolaci v sandboxu a zajistit, aby jakýkoli podproces vytvořený AI zdědil pouze neměnná oprávnění s nízkými oprávněními.

U podnikových uživatelů se bezpečnostním týmům doporučuje používat nástroje pro detekci a reakci na koncových bodech (EDR) k vyhledání neautorizovaných instalací Openclaw v podnikových sítích. Na druhou stranu se jednotlivým uživatelům doporučuje spouštět tento nástroj výhradně v sandboxovém prostředí bez přístupu k produkčním datům. A co je nejdůležitější, uživatelé musí provést aktualizaci na verzi 2026.1.29 nebo novější, aby opravili známé chyby umožňující vzdálené spuštění kódu (RCE).

Ačkoli se vývojáři Openclaw nedávno spojili se společností Virustotal za účelem skenování nahraných dovedností, výzkumníci z Certiku varují, že se nejedná o „zázračný lék“. Dokud platforma nedosáhne stabilnější bezpečnostní fáze, panuje v oboru shoda, že je třeba tento software považovat za inherentně nedůvěryhodný.

Často kladené otázky ❓

• Co je Openclaw? Openclaw je open-source framework pro umělou inteligenci, který rychle získal více než 300 000 hvězdiček na GitHubu.
• Proč je to riskantní? Byl vytvořen pro důvěryhodné lokální použití, ale nyní je široce nasazován online, čímž odhaluje závažné chyby.
• Jaké hrozby existují? Kritické CVE, rozšíření infikovaná malwarem a více než 135 000 exponovaných instancí v 82 zemích.
• Jak se mohou uživatelé chránit? Spouštějte jej pouze v sandboxovém prostředí a aktualizujte na verzi 2026.1.29 nebo novější.