AI Perks pakub juurdepääsu eksklusiivsete allahindluste, krediitide ja pakkumistega AI tööriistadele, pilveteenustele ja API-dele, et aidata idufirmadel ja arendajatel raha säästa.
OpenClaw'i turvakriis – 2026. aasta suurim AI-agendi skandaal
OpenClaw – avatud lähtekoodiga AI-agent, millel on üle 180 000 GitHubi tähe – on sattunud AI-tööriistade ajaloo halvimasse turvakriisi. Veebruaris 2026 avastasid teadlased 7 kriitilist haavatavust, üle 135 000 avalikku instansi ja üle 800 pahatahtliku oskuse, mis tarnisid ametliku ClawHubi turuplatsi kaudu pahavara.
Google hakkas keelama tasulisi AI-tellijaid, kes kasutavad OpenClaw'i. Meta keelas selle kõikidel tööseadmetel. CrowdStrike, Cisco ja Nature avaldasid kiireloomulised teated.
Kui kasutate OpenClaw'i, tehke esmalt seda, et kindlustage oma legitiimsed API-krediteeringud AI Perks kaudu – lekitatud ja varastatud võtmed kompromiteeritud instansidest juba ringlevad veebis.
Säästke oma idufirma eelarvet AI-tööriistade pealt
| Software | Ligik Krediidid | Kinnituse Indeks | Tegevused | |
|---|---|---|---|---|
Kriisi ajajoon – kuidas kõik lahti rullus
Kriis ei juhtunud üleöö. See eskaleerus kolme nädala jooksul, kui turvateadlased koorisid maha kiht kihi haaval haavatavusi.
| Kuupäev | Sündmus |
|---|---|
| 29. jaan | CVE-2026-25253 vaikselt plaasterdatud OpenClaw v2026.1.29-s |
| 3. veebr | CVE-2026-25253 avalikult avalikustatud – CVSS 8.8 (üks-klõpsuline RCE) |
| 4. veebr | Täiendav käsukatsetuste CVE avalikustatud |
| 5. veebr | Teadlased avastavad ClawHubis 341 pahatahtlikku oskust (~12% registrist) |
| 6. veebr | Moltbooki rikkumine paljastas 1,5 miljonit API-tokenit |
| 7.–8. veebr | Google hakkab piirama OpenClaw'i kasutavaid AI-tellijaid |
| 9. veebr | SecurityScorecard teatab 40 000+ avalikust OpenClaw instansist |
| 15. veebr | Avalikud instansid kasvavad üle 135 000; pahatahtlikud oskused tõusevad üle 800 |
| 17. veebr | Cline CLI 2.3.0 tarneahela rünnak installib vaikselt OpenClaw'i |
| 20. veebr | Meta keelab OpenClaw'i tööseadmetes; The Register avaldab täieliku Cline'i raporti |
Kolm nädalat. Nii kiiresti muutus OpenClaw ajaloos kõige põnevamast avatud lähtekoodiga projektist suurimaks turvahoiatuslooks AI-s.
AI Perks pakub juurdepääsu eksklusiivsete allahindluste, krediitide ja pakkumistega AI tööriistadele, pilveteenustele ja API-dele, et aidata idufirmadel ja arendajatel raha säästa.
7 haavatavust, mis raputasid OpenClaw'i
Seitse CVE-d avalikustati nädalate jooksul üksteisest. Kolmele on saadaval avalik ekspluatatsioonikood, mis tähendab, et igaüks saab neid kasutada plaasterdamata instanside vastu.
CVE-2026-25253 – Ühe-klõpsuline kaugkoodi täitmine (CVSS 8.8)
See oli suur asi. Pahatahtlik link, mis saadeti mis tahes sõnumiplatvormi kaudu – WhatsApp, Telegram, Discord – võis millisekundite jooksul kaaperdada kogu OpenClaw instansi.
Haavatavus kasutas gatewayURL päringuparameetrit autentimistokenite väljalekkimiseks. Kui ründajal oli token, sai ta ohvri masinas täita suvalisi käske. Täielik süsteemi juurdepääs ühe klõpsuga.
Parandus ilmus versioonis v2026.1.29 29. jaanuaril, kuid CVE avalikustati alles 3. veebruaril. Teadlased hindavad, et tuhanded instansid jäid nädalateks plaasterdamata.
Ülejäänud kuus CVE-d
| Haavatavus | Tüüp | Tõsidus | Mõju |
|---|---|---|---|
| SSRF (Server-Side Request Forgery) | Võrk | Kõrge | Ründajad pääsevad OpenClaw kaudu juurde sisemistele teenustele |
| Autentimise puudumine | Juurdepääsukontroll | Kriitiline | Paljastatud instanside juhtimiseks pole vaja volitusi |
| Teerändlus | Failisüsteem | Kõrge | Loe või kirjuta suvalisi faile hostmasinas |
| Käsukatsetus | Täitmine | Kõrge | Täida süsteemikäske läbi valmistatud sisendite |
| Tokeni väljalekkimine (Gateway) | Autentimine | Kriitiline | Sessioonitokenite varastamine pahatahtlike URL-ide kaudu |
| Turvamata vaikeseaded | Konfiguratsioon | Keskmine | Seob 0.0.0.0:18789 – kuulab kõigil võrguliidestel |
Vaikeseadete probleem väärib erilist tähelepanu. Karbist väljas OpenClaw kuulab kõigil võrguliidestel pordis 18789 ilma autentimist nõudmata. See tähendab, et igale äsja installitud instansile pääseb juurde igaüks samas võrgus – või kogu internet, kui port on avatud.
135 000 avalikku instanssi – probleemi ulatus
SecurityScorecardi STRIKE meeskond viis läbi kogu interneti ulatuses skaneerimise ja leidis, et arvud olid vapustavad.
Peamised leiud:
- Üle 135 000 OpenClaw instansi, mis on avalikult internetis avatud
- 93,4% avalikest instansidest ilmutas autentimise möödumise tingimusi
- 5194 instansit tuvastati aktiivselt tuntud CVE-de suhtes haavatavatena
- üle 53 000 instansit seotud tuntud ohutegijatega seotud IP-aadressidega
Arvud kasvasid kiiresti. Varasem sõltumatu uuring 9. veebruaril leidis 42 665 avalikku instanssi. Kuus päeva hiljem oli arv rohkem kui kolmekordistunud.
Mida tähendab "avatud"? See tähendab, et OpenClaw instans on internetist juurdepääsetav ilma autentimiseta. Igaüks, kes selle leiab, saab saata käske, lugeda andmeid, pääseda juurde ühendatud sõnumsideteenustele ja täita koodi hostmasinas.
OpenClaw'i kasutajatele, kes kasutavad legitiimseid API-krediteeringuid AI Perks kaudu – kontrollige kohe, kas teie instans on avalikult juurdepääsetav. Kui see on nii, lülitage see välja, vahetage oma API-võtmed ja lubage autentimine enne uuesti ühendamist.
Üle 800 pahatahtliku oskuse – ClawHubi tarneahela rünnak
ClawHub on OpenClaw'i ametlik oskuste turuplats – analoog npm-ile Node.js või pip-ile Pythonile. Kriisi alguses oli seal umbes 3000+ oskust.
Teadlased leidsid, et 20% neist olid pahatahtlikud.
Esmane skaneerimine 5. veebruaril avastas 341 pahatahtlikku oskust registrist. Järgnev skaneerimine 15. veebruaril leidis, et arv oli kasvanud üle 800 – mis tähendab, et umbes iga viies ClawHubi oskus oli loodud kasutajaandmete varastamiseks.
Mida pahatahtlikud oskused teevad
Peamine kandja oli Atomic macOS Stealer (AMOS) – tuntud paroolivargust tarkvara, mis sihib:
- Brauseriparoolid ja küpsised (Chrome, Firefox, Safari, Brave)
- Krüptovaluuta rahakotid (MetaMask, Phantom, Coinbase Wallet)
- macOS-i võtmehoidla paroolid
- Süsteemi volitused ja SSH-võtmed
Kasutajad, kes installisid selle perioodi jooksul mingeid kontrollimata ClawHubi oskusi, peaksid eeldama, et nende volitused on kompromiteeritud.
Cline CLI tarneahela rünnak (17. veebruar)
- veebruaril avastasid turvateadlased, et Cline CLI versioon 2.3.0 – populaarne käsureatööriist – oli kompromiteeritud, et installida vaikselt OpenClaw kasutajate masinatesse. Pahatahtlik versioon oli saadaval umbes 8 tundi, enne kui see avastati ja eemaldati.
Selle akna jooksul toimus hinnanguliselt 4000 allalaadimist. Kasutajad, kes installisid Cline CLI sel perioodil, võivad oma teadmata kasutada OpenClaw instanssi.
Google ja Meta keelavad OpenClaw'i – tööstuse reaktsioon
Turvakriis vallandas ettevõtete vastusekirjad suurimatelt tehnoloogiamajadelt.
Google hakkas massiliselt piirama tasulisi Gemini AI Pro ja Ultra tellijaid (249 $/kuus plaanid), kes kasutasid OpenClaw'i mudelitele juurdepääsuks. Kasutajad teatasid hoiatamata keelustamisest, kaotades juurdepääsu teenustele, mille eest nad maksid. Google'i seisukoht: kolmandate osapoolte tööriistade kasutamine AI mudelitele juurdepääsuks rikub teenusetingimusi.
Meta väljastas sisemise direktiivi, mis keelas OpenClaw'i kõikidel tööseadmetel. Töötajaid hoiatati, et OpenClaw'i kasutamine võib viia töölt vabastamiseni. Mitmed teised tehnoloogiafirmad järgisid Korea Timesi aruannete kohaselt sama joont.
CrowdStrike avaldas üksikasjaliku nõuande, nimetades OpenClaw'i "uueks turvariski klassiks – autonoomne agent laialdase süsteemi juurdepääsuga, mida enamik kasutajaid paigaldab ilma elementaarse turvalisuse hügieenita."
Cisco kirjeldas isiklikke AI-agente nagu OpenClaw "turvaõudusunenäona" oma turvameeskonna ajaveebipostituses.
Nature avaldas artikli pealkirjaga "OpenClaw AI vestlusrobotid jooksevad meeletult – need teadlased kuulavad pealt," dokumenteerides akadeemilise kogukonna kasvavat muret.
Tööstuse sõnum oli selge: OpenClaw on võimas, kuid vaikeseaded on professionaalseks kasutamiseks vastuvõetamatud.
Kuidas ennast kaitsta, kui kasutate OpenClaw'i
Kriis on tõsine, kuid OpenClaw on õigete ettevaatusabinõudega endiselt kasutatav. Siin on olulised sammud, alustades kõige tähtsamast.
Samm 1: Hankige legitiimsed API-krediidid
Ärge kunagi kasutage lekitatud, jagatud või "tasuta" API-võtmeid internetist. Moltbooki rikkumine paljastas 1,5 miljonit API-tokenit. Varastatud võtmed ringlevad tumedaima veebi foorumites ja Telegrami kanalites.
Hankige oma legitiimsed krediidid AI Perks kaudu:
| Krediidiprogram | Saadaval olevad krediidid | Kuidas saada |
|---|---|---|
| Anthropic Claude (Otsene) | 1000 – 25 000 $ | AI Perks juhend |
| OpenAI (GPT-4) | 500 – 50 000 $ | AI Perks juhend |
| AWS Activate (Bedrock) | 1000 – 100 000 $ | AI Perks juhend |
| Microsoft Founders Hub | 500 – 1000 $ | AI Perks juhend |
Kokku potentsiaalselt: 3000 – 176 000 $ legitiimsetes krediitides
Oma AI Perks võtmetega saate kontrollida, mis on avalik. Kui juhtub rikkumine, saate oma võtmeid kohe vahetada, ilma et sõltuksite kompromiteeritud infrastruktuurist.
Samm 2: Värskendage kohe versioonile v2026.2.22
Viimane väljalase sisaldab üle 40 turvalisuse tugevdamise plaastri, värava autentimist ja seadmehaldust. Kontrollige oma versiooni ja värskendage:
openclaw --version
openclaw update
Kõik versioonid enne 2026.1.29 on haavatavad ühe-klõpsulise RCE suhtes. Kõigist versioonidest enne 2026.2.22 puuduvad kriitilised turvalisuse tugevdamised.
Samm 3: Lubage autentimine
OpenClaw on vaikimisi autentimine keelatud. See on peamine põhjus, miks 93,4% avalikest instansidest oli autentimise möödumine.
Lubage see oma konfiguratsioonis:
security:
authentication: true
gateway_auth: true
Samm 4: Auditeerige oma installitud oskusi
Eemaldage kõik ClawHubi oskused, mida te pole isiklikult kontrollinud. Kuna 20% registrist on kompromiteeritud, on kõige turvalisem lähenemine kõigi uninstallimine ja ainult nende oskuste uuesti installimine, mida olete läbi vaadanud:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
Samm 5: Järgige täielikku tugevdamise juhendit
Täieliku 10-astmelise turvakontrollnimekirja jaoks, mis hõlmab võrgupiiranguid, liivakasti konfiguratsiooni, logimist ja kululimiite – lugege meie OpenClaw'i turvajuhist.
Kaaluda tasub turvalisemaid alternatiive
Kui turvakriis paneb teid OpenClaw'i ümber hindama, on olemas hallatavad alternatiivid, mis hoolitsevad turvalisuse eest teie eest. Kompromiss: vähem kohandamist, kuid pole CVE-sid, mille pärast muretseda.
| Funktsioon | OpenClaw (iseteenindav) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Turvamudel | Teie haldate kõike | Anthropic-hallatav | Meta-hallatav | OpenAI-hallatav |
| CVE ajalugu | 7 CVE-d veebruaris 2026 | Avalikke pole | Avalikke pole | Avalikke pole |
| Andmete asukoht | Teie seade | Pilv | Pilve liivakast | Pilv |
| Kohandamine | Täielik kontroll | Koodipõhine | Ülesandepõhine | Üldotstarbeline |
| Maksumus | Ainult API-krediidid | 20–200 $/kuus | 39–199 $/kuus | 20–200 $/kuus |
Iga alternatiiv vajab siiski AI API-krediite täielikuks tööks. AI Perks katab krediidiprogrammid Anthropic'u, OpenAI, AWS, Google Cloud'i ja muu jaoks – seega olete kaetud, olenemata sellest, millist tööriista te valite.
Iga alternatiivi üksikasjalikuks analüüsiks vaadake meie Parimate OpenClaw alternatiivide juhendit.
Korduma kippuvad küsimused
Kas OpenClaw'i häkiti 2026. aasta veebruaris?
OpenClaw'i ennast traditsioonilises mõttes ei häkitud. Avastati ja avalikustati seitse kriitilist haavatavust, leiti üle 135 000 instansi, mis olid internetis avatud ilma autentimiseta, ning ClawHubis leiti üle 800 pahatahtliku oskuse, mis tarnisid paroolivargaid. Moltbooki rikkumine paljastas ka 1,5 miljonit API-tokenit.
Kas OpenClaw on praegu ohutu kasutada?
Jah, õige konfiguratsiooniga. Värskendage versioonile v2026.2.22, lubage autentimine, auditeerige oma oskused ja kasutage legitiimseid API-krediteeringuid AI Perks kaudu. Tugevdamata vaikeseadistusega installatsioon pole ohutu – kuid korralikult konfigureeritud ja uusimate plaastritega instans lahendab kõik tuntud haavatavused.
Miks Google keelas OpenClaw'i kasutajad?
Google piiras tasulisi Gemini AI tellijaid, kes kasutasid OpenClaw'i Google'i AI mudelitele juurdepääsuks kolmandate osapoolte tööriistade kaudu. See rikub Google'i teenusetingimusi. Kasutajad teatasid 249 $/kuus plaanidele juurdepääsu kaotamisest ilma hoiatuseta. Kasutage AI Perks otse API-krediite tarbijate tellimuste asemel.
Mis on Cline CLI tarneahela rünnak?
- veebruaril 2026 kompromiteeriti Cline CLI versioon 2.3.0, et installida vaikselt OpenClaw kasutajate masinatesse. Pahatahtlik versioon oli saadaval umbes 8 tundi, enne kui see eemaldati. Hinnanguliselt toimus 4000 allalaadimist. Kui installisite Cline CLI sel aknal, kontrollige volitamata OpenClaw installatsioone.
Kui palju pahatahtlikke OpenClaw oskusi on ClawHubis?
Mid-veebruar 2026 seisuga leidsid teadlased ClawHubis üle 800 pahatahtliku oskuse – umbes 20% kogu registrist. Peamine kandja on Atomic macOS Stealer (AMOS), mis sihib brauseriparoolidele, krüptovaluuta rahakottidele ja süsteemi volitustele. Installige ainult ise läbi vaadatud oskused.
Mida peaksin tegema, kui minu OpenClaw instans oli avalik?
Kohe: lülitage instans välja, vahetage kõik API-võtmed, muutke kõikide ühendatud kontode (e-post, sõnumsideplatvormid, krüptovaluuta rahakotid) paroole ja skaneerige pahavara suhtes. Seejärel värskendage versioonile v2026.2.22, lubage autentimine ja hankige värsked legitiimsed API-krediidid AI Perks kaudu enne uuesti ühendamist.
Kas OpenClaw on turvakriisi järel endiselt kasutamist väärt?
OpenClaw jääb kõige võimsamaks avatud lähtekoodiga AI-agendiks. Turvaprobleemid tulenevad turvamata vaikeseadetest ja kiiresti kasvavast oskuste ökosüsteemist – mitte fundamentaalsetest disainivigadest. Õige tugevdamise, legitiimsete volituste ja hoolika oskuste haldamisega on see endiselt köitev tööriist. Peamine õppetund: ärge kunagi kasutage seda vaikeseadetega.
Turvakriis on AI-agentide jaoks äratuskõne
OpenClaw'i kriis paljastas karmit tõde: avatud lähtekoodiga AI-agendid, millel on süsteemi taseme juurdepääs, nõuavad tõsist turvalisuse hügieeni. Vaikimisi "installi ja mine" kogemus, mis tegi OpenClaw'ist viirusliku, on sama asi, mis jättis üle 135 000 instansi avalikuks.
OpenClaw Foundation (nüüd toetab OpenAI pärast Peter Steinbergeri siirdumist) parandab aktiivselt neid probleeme. Versioon 2026.2.22 sisaldab üle 40 turvalisuse tugevdamise plaastri. Kogukond on tugevam sellest kogemusest.
Kuid vastutus langeb ikka teile. Värskendage oma installatsiooni, lubage autentimine, auditeerige oma oskusi ja alustage legitiimsete API-krediteeringutega AI Perks kaudu. Olgu te siis OpenClaw'i juures või lülitute hallatavale alternatiivile – te vajate päris krediite, mitte varastatud võtmeid.
Telli aadressil getaiperks.com →
Ärge laske turvakriisil maksta teile rohkem, kui see peab. Hankige legitiimseid AI-krediite ja kasutage oma tööriistu turvaliselt aadressil getaiperks.com.
