Studie: Kritisk utnyttelse i Openclaw muliggjør full administrativ kapring

Feilslutningen om et «betrodd miljø»

En studie fra 31. mars av Web3-sikkerhetsselskapet Certik har løftet sløret for en «systemisk kollaps» i sikkerhetsgrensene i Openclaw, en åpen kildekode-plattform for kunstig intelligens (KI). Til tross for sin raske vekst til mer enn 300 000 Github-stjerner, har rammeverket samlet over 100 CVE-er og 280 sikkerhetsadvarsler på bare fire måneder, noe som skaper det forskerne kaller en «ubegrenset» angrepsflate.

Rapporten fremhever en grunnleggende arkitektonisk feil: Openclaw ble opprinnelig designet for «betrodde lokale miljøer». Men etter hvert som plattformens popularitet eksploderte, begynte brukere å ta den i bruk på internettvendte servere—en overgang programvaren aldri var rustet til å håndtere.

Ifølge studierapporten identifiserte forskere flere høyrisiko sviktpunkter som setter brukerdata i fare, inkludert den kritiske sårbarheten CVE-2026-25253, som lar angripere ta full administrativ kontroll. Ved å lure en bruker til å klikke på én eneste ondsinnet lenke kan hackere stjele autentiserings-tokens og kapre KI-agenten.

Samtidig avdekket globale skanninger mer enn 135 000 internetteksponerte Openclaw-instanser i 82 land. Mange av disse hadde autentisering deaktivert som standard, noe som lekket API-nøkler, chattehistorikk og sensitive legitimasjoner i klartekst. Rapporten hevder også at plattformens depot for brukerdelte «skills» har blitt infiltrert av skadevare, og hundrevis av disse utvidelsene ble funnet å pakke inn infostealere designet for å suge ut lagrede passord og kryptovaluta-lommebøker.

Videre skjuler angripere nå ondsinnede instruksjoner i e-poster og nettsider. Når KI-agenten behandler disse dokumentene, kan den tvinges til å eksfiltrere filer eller utføre uautoriserte kommandoer uten brukerens viten.

«Openclaw har blitt en casestudie i hva som skjer når store språkmodeller slutter å være isolerte chatsystemer og begynner å handle inne i reelle miljøer,» sa en ledende revisor fra Penligent. «Det samler klassiske programvarefeil inn i en kjøretid med høy delegert autoritet, noe som gjør sprengradiusen til enhver enkeltfeil enorm.»

Tiltak og sikkerhetsanbefalinger

Som svar på disse funnene oppfordrer eksperter til en «sikkerhet først»-tilnærming for både utviklere og sluttbrukere. For utviklere anbefaler studien å etablere formelle trusselmodeller fra dag én, håndheve streng sandbox-isolasjon og sikre at enhver KI-startet underprosess kun arver lavprivilegerte, uforanderlige tillatelser.

For bedriftsbrukere oppfordres sikkerhetsteam til å bruke endpoint detection and response (EDR)-verktøy for å finne uautoriserte Openclaw-installasjoner i bedriftsnettverk. På den andre siden oppmuntres individuelle brukere til å kjøre verktøyet utelukkende i et sandkasset miljø uten tilgang til produksjonsdata. Viktigst av alt må brukere oppdatere til versjon 2026.1.29 eller nyere for å tette kjente feil for ekstern kjøring av kode (RCE).

Selv om Openclaws utviklere nylig inngikk et partnerskap med Virustotal for å skanne opplastede skills, advarer Certik-forskere om at dette «ikke er noen sølvkule». Inntil plattformen når en mer stabil sikkerhetsfase, er bransjekonsensusen å behandle programvaren som iboende upålitelig.

FAQ ❓

• Hva er Openclaw? Openclaw er et åpen kildekode-KI-rammeverk som raskt vokste til 300 000+ GitHub-stjerner.
• Hvorfor er det risikabelt? Det ble bygget for betrodd lokal bruk, men er nå utbredt distribuert på nett, noe som eksponerer store svakheter.
• Hvilke trusler finnes? Kritiske CVE-er, utvidelser infisert med skadevare og 135 000+ eksponerte instanser i 82 land.
• Hvordan kan brukere holde seg trygge? Kjør kun i sandkassemiljøer og oppdater til versjon 2026.1.29 eller nyere.