Studie: Allvarlig sårbarhet i Openclaw möjliggör fullständig övertagande av administratörsbehörighet

Missuppfattningen om den ”betrodda miljön”

En studie från den 31 mars av Web3-säkerhetsföretaget Certik har lyft på slöjan för en ”systemisk kollaps” av säkerhetsgränserna inom Openclaw, en öppen källkodsplattform för artificiell intelligens (AI). Trots sin snabba uppgång till mer än 300 000 Github-stjärnor har ramverket ackumulerat mer än 100 CVE:er och 280 säkerhetsmeddelanden på bara fyra månader, vilket skapar vad forskarna kallar en ”obegränsad” attackyta.

Rapporten belyser en grundläggande arkitektonisk brist: Openclaw var ursprungligen utformat för ”betrodda lokala miljöer”. Men när plattformens popularitet exploderade började användare distribuera den på servrar som är anslutna till internet – en övergång som programvaran aldrig var utrustad för att hantera.
Enligt studien identifierade forskarna flera högriskfel som äventyrar användardata, inklusive den kritiska sårbarheten CVE-2026-25253, som gör det möjligt för angripare att ta fullständig administrativ kontroll. Genom att lura en användare att klicka på en enda skadlig länk kan hackare stjäla autentiseringstoken och ta över AI-agenten.
Samtidigt avslöjade globala skanningar mer än 135 000 Openclaw-instanser exponerade mot internet i 82 länder. Många av dessa hade autentisering inaktiverad som standard, vilket ledde till läckage av API-nycklar, chattloggar och känsliga inloggningsuppgifter i klartext. Rapporten hävdar också att plattformens arkiv för användardelade ”färdigheter” har infiltrerats av skadlig kod och att hundratals av dessa tillägg visade sig innehålla infostealers utformade för att stjäla sparade lösenord och kryptovalutaplånböcker.

Dessutom gömmer angripare nu skadliga instruktioner i e-postmeddelanden och på webbsidor. När AI-agenten bearbetar dessa dokument kan den tvingas att exfiltrera filer eller utföra obehöriga kommandon utan användarens vetskap.

"Openclaw har blivit ett typexempel på vad som händer när stora språkmodeller slutar vara isolerade chatt-system och börjar agera i verkliga miljöer", säger en ledande revisor från Penligent. "Det samlar klassiska programvarufel i en runtime med hög delegerad behörighet, vilket gör att sprängradien för varje enskild bugg blir enorm."

Rekommendationer för riskminimering och säkerhet

Som svar på dessa fynd uppmanar experter till en ”säkerhet först”-strategi för både utvecklare och slutanvändare. För utvecklare rekommenderar studien att man etablerar formella hotmodeller från dag ett, tillämpar strikt sandlådeisolering och säkerställer att alla AI-genererade delprocesser endast ärver oföränderliga behörigheter med låga privilegier.

För företagsanvändare uppmanas säkerhetsteamen att använda verktyg för detektering och respons på slutpunkter (EDR) för att lokalisera obehöriga Openclaw-installationer inom företagsnätverk. Å andra sidan uppmuntras enskilda användare att köra verktyget uteslutande i en sandboxad miljö utan åtkomst till produktionsdata. Viktigast av allt är att användare måste uppdatera till version 2026.1.29 eller senare för att åtgärda kända brister i fjärrkörning av kod (RCE).

Även om Openclaws utvecklare nyligen har ingått ett samarbete med Virustotal för att skanna uppladdade färdigheter, varnar Certiks forskare för att detta inte är någon ”mirakelkur”. Tills plattformen når en mer stabil säkerhetsfas är branschens konsensus att behandla programvaran som i grunden opålitlig.

Vanliga frågor ❓

• Vad är Openclaw? Openclaw är ett öppen källkods-AI-ramverk som snabbt växte till över 300 000 GitHub-stjärnor.
• Varför är det riskabelt? Det byggdes för betrodd lokal användning men används nu i stor utsträckning online, vilket exponerar stora brister.
• Vilka hot finns? Kritiska CVE:er, malware-infekterade tillägg och över 135 000 exponerade instanser i 82 länder.
• Hur kan användare skydda sig? Kör endast i sandboxade miljöer och uppdatera till version 2026.1.29 eller senare.