AI Perks tarjoaa pääsyn eksklusiivisiin alennuksiin, krediitteihin ja tarjouksiin AI-työkaluissa, pilvipalveluissa ja API-rajapinnoissa auttaakseen startup-yrityksiä ja kehittäjiä säästämään rahaa.
OpenClaw'n turvallisuuskriisi – Vuoden 2026 suurin tekoälyagenttiskandaali
OpenClaw – avoimen lähdekoodin tekoälyagentti, jolla on yli 180 000 GitHub-tähteä – on joutunut tekoälytyökalujen historian pahimman turvallisuuskriisin kohteeksi. Helmikuussa 2026 tutkijat löysivät 7 kriittistä haavoittuvuutta, yli 135 000 paljastunutta tapausta ja yli 800 haitallista taitoa, jotka levittivät haittaohjelmia virallisen ClawHub-markkinapaikan kautta.
Google alkoi estää maksua maksavia tekoälytilaajia, jotka käyttävät OpenClaw'ta. Meta kielsi sen kaikista työlaitteista. CrowdStrike, Cisco ja Nature julkaisivat kiireellisiä tiedotteita.
Jos käytät OpenClaw'ta, ensimmäinen asia, joka sinun tulee tehdä, on suojata lailliset API-tunnistetiedot AI Perks kautta – vuodetut ja varastetut avaimet vaarantuneista tapauksista ovat jo leviämässä verkossa.
Säästä startup-budjettisi AI-työkaluissa
| Software | Arvio Krediitit | Hyvaksyntaindeksi | Toiminnot | |
|---|---|---|---|---|
Kriisiaikajana – Miten kaikki tapahtui
Kriisi ei tapahtunut yhdessä yössä. Se eskaloitui kolmen viikon aikana, kun turvallisuustutkijat kuorivat kerros kerrokselta haavoittuvuuksia.
| Päivämäärä | Tapahtuma |
|---|---|
| Tammi 29 | CVE-2026-25253 korjattu hiljaa OpenClaw v2026.1.29:ssä |
| Helmi 3 | CVE-2026-25253 julkistettu – CVSS 8.8 (yhden napsautuksen RCE) |
| Helmi 4 | Lisää komennon injektointia koskevia CVE-tietoja julkistettu |
| Helmi 5 | Tutkijat löytävät 341 haitallista taitoa ClawHubista (~12 % rekisteristä) |
| Helmi 6 | Moltbookin murto paljastaa 1,5 miljoonaa API-tokenia |
| Helmi 7–8 | Google alkaa rajoittaa OpenClaw'ta käyttäviä tekoälytilaajia |
| Helmi 9 | SecurityScorecard raportoi yli 40 000 paljastunutta OpenClaw-tapausta |
| Helmi 15 | Paljastuneiden tapausten määrä kasvaa yli 135 000:een; haitallisten taitojen määrä nousee yli 800:aan |
| Helmi 17 | Cline CLI 2.3.0 toimitusketjuun kohdistuva hyökkäys asentaa OpenClaw'n huomaamatta |
| Helmi 20 | Meta kieltää OpenClaw'n työlaitteissa; The Register julkaisee täyden Cline-raportin |
Kolme viikkoa. Niin nopeasti OpenClaw muuttui historian jännittävämmästä avoimen lähdekoodin projektista suurimmaksi turvallisuushavainnollistukseksi tekoälyssä.
AI Perks tarjoaa pääsyn eksklusiivisiin alennuksiin, krediitteihin ja tarjouksiin AI-työkaluissa, pilvipalveluissa ja API-rajapinnoissa auttaakseen startup-yrityksiä ja kehittäjiä säästämään rahaa.
7 haavoittuvuutta, jotka järisyttivät OpenClaw'ta
Seitsemän CVE-tietoa julkistettiin viikkojen sisällä toisistaan. Kolmesta on julkinen hyötykoodi saatavilla, mikä tarkoittaa, että kuka tahansa voi käyttää niitä korjaamattomiin tapauksiin.
CVE-2026-25253 – Yhden napsautuksen etäkoodin suoritus (CVSS 8.8)
Tämä oli se suuri juttu. Minkä tahansa viestialustan – WhatsAppin, Telegramin, Discordin – kautta lähetetty haitallinen linkki pystyi kaappaamaan koko OpenClaw-tapauksen millisekunneissa.
Haavoittuvuus hyödynsi gatewayURL-kyselyparametria todentamistokenien poistamiseen. Kun hyökkääjä sai tokenin, hän saattoi suorittaa mielivaltaisia komentoja uhrin koneella. Täysi järjestelmän pääsy yhdellä napsautuksella.
Korjaus julkaistiin versiossa v2026.1.29 tammikuun 29. päivänä, mutta CVE-tietoa ei julkistettu julkisesti ennen helmikuun 3. päivää. Tutkijat arvioivat, että tuhannet tapaukset pysyivät korjaamattomina viikkojen ajan.
Muut kuusi CVE-tietoa
| Haavoittuvuus | Tyyppi | Vakavuus | Vaikutus |
|---|---|---|---|
| SSRF (Server-Side Request Forgery) | Verkko | Korkea | Hyökkääjät pääsevät käsiksi sisäisiin palveluihin OpenClaw'n kautta |
| Todennuksen puute | Pääsynhallinta | Kriittinen | Ei tunnistetietoja tarvita paljastuneiden tapausten hallintaan |
| Polun läpikäynti | Tiedostojärjestelmä | Korkea | Lukee tai kirjoittaa mielivaltaisia tiedostoja isäntäkoneelle |
| Komennon injektointi | Suoritus | Korkea | Suorittaa järjestelmäkomentoja luotujen syötteiden kautta |
| Tokenin poistuminen (Gateway) | Todentaminen | Kriittinen | Varastaa istuntotokeneita haitallisten URL-osoitteiden kautta |
| Epäturvallinen oletuskonfiguraatio | Konfiguraatio | Keskitaso | Sitoutuu osoitteeseen 0.0.0.0:18789 – kuuntelee kaikilla verkkoliitännöillä |
Oletuskonfiguraatio-ongelma ansaitsee erityishuomiota. Käyttövalmiina OpenClaw kuuntelee kaikilla verkkoliitännöillä portissa 18789 ilman todentamista. Tämä tarkoittaa, että mikä tahansa uusi asennus on välittömästi kaikkien samassa verkossa olevien – tai koko internetin, jos portti on paljastettu – saavutettavissa.
135 000 paljastunutta tapausta – Ongelman laajuus
SecurityScorecardin STRIKE-tiimi suoritti internetinlaajuisen skannauksen ja totesi lukujen olevan huolestuttavia.
Keskeiset löydökset:
- Yli 135 000 OpenClaw-tapausta paljastui julkiseen internetiin
- 93,4 % paljastuneista tapauksista osoitti todentamisen ohitusolosuhteita
- 5 194 tapausta varmistettiin aktiivisesti tunnetuille CVE-tiedoille haavoittuviksi
- Yli 53 000 tapausta liittyi tunnettuihin uhkatekijöihin liittyviin IP-osoitteisiin
Luvut kasvoivat nopeasti. Aiempi, 9. helmikuuta tehty riippumaton tutkimus löysi 42 665 paljastunutta tapausta. Kuusi päivää myöhemmin määrä oli yli kolminkertaistunut.
Mitä "paljastunut" tarkoittaa? Se tarkoittaa, että OpenClaw-tapaus on saavutettavissa internetistä ilman todentamista. Kuka tahansa, joka löytää sen, voi lähettää komentoja, lukea tietoja, käyttää yhdistettyjä viestintätilejä ja suorittaa koodia isäntäkoneella.
Käyttäjille, jotka käyttävät OpenClaw'ta AI Perks -palvelusta peräisin olevilla laillisilla API-tunnistetiedoilla – tarkista välittömästi, onko tapauksesi julkisesti saavutettavissa. Jos on, sulje se, vaihda API-avaimesi ja ota todentaminen käyttöön ennen uudelleenyhdistämistä.
Yli 800 haitallista taitoa – ClawHub-toimitusketjun hyökkäys
ClawHub on OpenClaw'n virallinen taitojen markkinapaikka – vastaava kuin npm Node.js:lle tai pip Pythonille. Siinä oli noin 3 000+ taitoa kriisin alkaessa.
Tutkijat löysivät, että 20 % niistä oli haitallisia.
Alustava skannaus 5. helmikuuta paljasti 341 haitallista taitoa rekisterissä. Seurantaskannaus 15. helmikuuta löysi määrän kasvaneen yli 800:aan – mikä tarkoittaa, että noin joka viides ClawHub-taito oli suunniteltu käyttäjätietojen varastamiseksi.
Mitä haitalliset taidot tekevät
Pääasiallinen hyötykuorma oli Atomic macOS Stealer (AMOS) – tunnettu tunnistetietoja varastava haittaohjelma, joka kohdistuu:
- Selaimen salasanoihin ja evästeisiin (Chrome, Firefox, Safari, Brave)
- Kryptovaluuttalompakoihin (MetaMask, Phantom, Coinbase Wallet)
- Avainnippujen salasanoihin macOS:ssä
- Järjestelmätunnistetietoihin ja SSH-avaimiin
Käyttäjien, jotka asensivat minkä tahansa vahvistamattoman ClawHub-taidon tänä aikana, tulee olettaa, että heidän tunnistetietonsa ovat vaarantuneet.
Cline CLI -toimitusketjun hyökkäys (17. helmikuuta)
- helmikuuta turvallisuustutkijat havaitsivat, että Cline CLI versio 2.3.0 – suosittu komentorivityökalu – oli vaarantunut asentaakseen OpenClaw'n käyttäjien koneille huomaamatta. Haitallinen versio oli käytössä noin 8 tunnin ajan ennen kuin se havaittiin ja poistettiin.
Arviolta 4 000 latausta tapahtui tämän ajanjakson aikana. Käyttäjät, jotka asensivat Cline CLI:n tänä aikana, saattavat käyttää OpenClaw-tapausta tietämättään.
Google ja Meta kieltävät OpenClaw'n – alan vastaus
Turvallisuuskriisi johti suurten teknologiayritysten vastareaktioon.
Google alkoi massarajoittaa maksua maksavia Gemini AI Pro ja Ultra -tilaajia (249 $/kk) , jotka käyttivät OpenClaw'ta mallien käyttämiseen. Käyttäjät raportoivat saamistaan kielloista ilman varoitusta, menettäen pääsyn maksamiinsa palveluihin. Googlen kanta: kolmansien osapuolten työkalujen käyttö tekoälymallien käyttämiseen rikkoo käyttöehtoja.
Meta antoi sisäisen direktiivin, joka kielsi OpenClaw'n käytön kaikissa työlaitteissa. Työntekijöitä varoitettiin, että OpenClaw'n käyttö voi johtaa irtisanomiseen. Useat muut teknologiayritykset seurasivat esimerkkiä, Korean Timesin raporttien mukaan.
CrowdStrike julkaisi yksityiskohtaisen tiedotteen, jossa se kuvaili OpenClaw'ta "uudeksi turvallisuusriskiluokaksi – autonomiseksi agentiksi laajalla järjestelmän pääsyllä, jonka useimmat käyttäjät ottavat käyttöön ilman perusasioiden mukaista turvallisuushygieniaa".
Cisco kuvaili henkilökohtaisia tekoälyagentteja kuten OpenClaw'ta "turvallisuusyönaiseksi" turvallisuustiiminsä blogikirjoituksessa.
Nature julkaisi artikkelin otsikolla "OpenClaw AI -chatbotit riehuivat – nämä tutkijat kuuntelevat", dokumentoiden kasvavaa huolta akateemisessa yhteisössä.
Alan viesti oli selvä: OpenClaw on tehokas, mutta oletusturvallisuusasento on ammattikäytössä täysin kelvoton.
Miten suojautua, jos käytät OpenClaw'ta
Kriisi on vakava, mutta OpenClaw on edelleen käyttökelpoinen asianmukaisilla varotoimilla. Tässä ovat tärkeimmät vaiheet, alkaen tärkeimmästä.
Vaihe 1: Hanki lailliset API-salasanat
Älä koskaan käytä vuodettuja, jaettuja tai "ilmaisia" API-avaimia internetistä. Moltbookin murto paljasti 1,5 miljoonaa API-tokenia. Varastettuja avaimia leviää pimeän verkon foorumeilla ja Telegram-kanavilla.
Hanki omat lailliset salasanasi AI Perks kautta:
| Salasanaohjelma | Saatavilla olevat salasanat | Miten hankkia |
|---|---|---|
| Anthropic Claude (Suoraan) | 1 000 – 25 000 dollaria | AI Perks Opas |
| OpenAI (GPT-4) | 500 – 50 000 dollaria | AI Perks Opas |
| AWS Activate (Bedrock) | 1 000 – 100 000 dollaria | AI Perks Opas |
| Microsoft Founders Hub | 500 – 1 000 dollaria | AI Perks Opas |
Yhteensä potentiaalisesti: 3 000 – 176 000 dollaria laillisia salasanoja
Omilla avaimillasi AI Perks -palvelusta hallitset sitä, mikä paljastuu. Jos murto tapahtuu, voit vaihtaa avaimet välittömästi riippumatta vaarantuneesta infrastruktuurista.
Vaihe 2: Päivitä versioon v2026.2.22 välittömästi
Uusin julkaisu sisältää yli 40 turvallisuuden kovennuskorjausta, yhdyskäytävän todentamisen ja laitteiden hallinnan. Tarkista versiosi ja päivitä:
openclaw --version
openclaw update
Mikä tahansa versio ennen 2026.1.29 on haavoittuvainen yhden napsautuksen RCE-hyökkäykselle. Mikä tahansa versio ennen 2026.2.22 puuttuu kriittiset turvallisuuden kovennukset.
Vaihe 3: Ota todentaminen käyttöön
OpenClaw toimitetaan oletusarvoisesti pois päältä olevalla todentamisella. Tämä on suurin syy siihen, miksi 93,4 % paljastuneista tapauksista oli todentamisen ohituksia.
Ota se käyttöön konfiguraatiossasi:
security:
authentication: true
gateway_auth: true
Vaihe 4: Tarkasta asennetut taitosi
Poista kaikki ClawHub-taidot, joita et ole henkilökohtaisesti tarkistanut. Koska 20 % rekisteristä oli vaarantunut, turvallisin lähestymistapa on poistaa kaikki ja asentaa uudelleen vain taidot, jotka olet tarkastanut:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
Vaihe 5: Noudata täydellistä kovennusopasta
Kattavan 10-vaiheisen turvallisuustarkistuslistan löydät verkkorajoituksista, hiekkalaatikon konfiguraatiosta, lokituksesta ja kulutusrajoituksista – lue OpenClaw Security Guide.
Turvallisempia vaihtoehtoja, joita kannattaa harkita
Jos turvallisuuskriisi saa sinut harkitsemaan uudelleen OpenClaw'ta, on olemassa hallinnoituja vaihtoehtoja, jotka hoitavat turvallisuuden puolestasi. Vastineeksi: vähemmän räätälöintiä, mutta ei CVE-tietoja, joista huolehtia.
| Ominaisuus | OpenClaw (Itse isännöity) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Turvallisuusmalli | Hallitset kaikkea | Anthropic hallinnoi | Meta hallinnoi | OpenAI hallinnoi |
| CVE-historia | 7 CVE-tietoa helmikuussa 2026 | Ei julkisia | Ei julkisia | Ei julkisia |
| Tietojen sijainti | Laitteesi | Pilvi | Pilvihiekkalaatikko | Pilvi |
| Räätälöinti | Täysi hallinta | Koodipainotteinen | Tehtäväpainotteinen | Yleiskäyttöinen |
| Hinta | Vain API-salasanat | 20–200 $/kk | 39–199 $/kk | 20–200 $/kk |
Jokainen vaihtoehto vaatii silti tekoäly-API-salasanoja toimiakseen täydellä teholla. AI Perks kattaa salasanaprograameja Anthropicille, OpenAI:lle, AWS:lle, Google Cloudille ja muille – joten olet turvassa valitsitpa minkä työkalun tahansa.
Tarkemman erittelyn kustakin vaihtoehdosta löydät Best OpenClaw Alternatives -oppaastamme.
Usein kysytyt kysymykset
Hakkerointiiko OpenClaw'ta helmikuussa 2026?
OpenClaw'ta itsessään ei hakkerointu perinteisessä mielessä. Seitsemän kriittistä haavoittuvuutta löydettiin ja julkistettiin, yli 135 000 tapausta löytyi paljastuneina internettiin ilman todentamista, ja ClawHubista löytyi yli 800 haitallista taitoa, jotka levittivät tunnistetietoja varastavaa haittaohjelmaa. Moltbookin murto paljasti myös 1,5 miljoonaa API-tokenia.
Onko OpenClaw turvallinen käyttää tällä hetkellä?
Kyllä, asianmukaisella konfiguraatiolla. Päivitä versioon v2026.2.22, ota todentaminen käyttöön, tarkasta taitosi ja käytä laillisia API-tunnistetietoja AI Perks -palvelusta. Koventamaton oletusasennus ei ole turvallinen – mutta asianmukaisesti konfiguroitu tapaus uusimmilla korjauksilla korjaa kaikki tunnetut haavoittuvuudet.
Miksi Google kielsi OpenClaw-käyttäjät?
Google rajoitti maksua maksavia Gemini AI -tilaajia, jotka käyttivät OpenClaw'ta Googlen tekoälymallien käyttämiseen kolmansien osapuolten työkalujen kautta. Tämä rikkoo Googlen käyttöehtoja. Käyttäjät raportoivat menettäneensä pääsyn 249 $/kk suunnitelmiin ilman varoitusta. Käytä suoria API-salasanoja AI Perks -palvelusta kuluttajatilauksien sijaan.
Mikä on Cline CLI -toimitusketjun hyökkäys?
- helmikuuta 2026 Cline CLI versio 2.3.0 vaarantui asentamaan OpenClaw'n käyttäjien koneille huomaamatta. Haitallinen versio oli käytössä noin 8 tunnin ajan ennen kuin se poistettiin. Arviolta 4 000 latausta tapahtui. Jos asensit Cline CLI:n tämän ikkunan aikana, tarkista luvattomat OpenClaw-asennukset.
Kuinka monta haitallista OpenClaw-taitoa on ClawHubissa?
Helmikuun 2026 puoliväliin mennessä tutkijat löysivät yli 800 haitallista taitoa ClawHubista – noin 20 % koko rekisteristä. Pääasiallinen hyötykuorma on Atomic macOS Stealer (AMOS), joka kohdistuu selaimen salasanoihin, kryptovaluuttalompakoihin ja järjestelmätunnistetietoihin. Asenna vain taidot, jotka olet henkilökohtaisesti tarkastanut.
Mitä minun pitäisi tehdä, jos OpenClaw-tapaukseni oli paljastunut?
Välittömästi: sulje tapaus, vaihda kaikki API-avaimet, muuta salasanoja kaikille yhdistetyille tileille (sähköposti, viestintäalustat, kryptolompakot) ja skannaa haittaohjelmien varalta. Päivitä sitten versioon v2026.2.22, ota todentaminen käyttöön ja hanki tuoreita laillisia API-salasanoja AI Perks -palvelusta ennen uudelleenyhdistämistä.
Onko OpenClaw edelleen käytön arvoinen turvallisuuskriisin jälkeen?
OpenClaw pysyy tehokkaimpana avoimen lähdekoodin tekoälyagenttina. Turvallisuusongelmat johtuvat epävarmoista oletuksista ja nopeasti kasvavasta taitojen ekosysteemistä – eivät perustavanlaatuisista suunnitteluvirheistä. Asianmukaisella kovennuksella, laillisilla tunnistetiedoilla ja huolellisella taitojen hallinnalla se on edelleen houkutteleva työkalu. Keskeinen opetus: älä koskaan käytä sitä oletusasetuksilla.
Turvallisuuskriisi on herätys tekoälyagenteille
OpenClaw'n kriisi paljasti karun totuuden: avoimen lähdekoodin tekoälyagentit, joilla on järjestelmätason pääsy, vaativat vakavaa turvallisuushygieniaa. Oletusarvoinen "asenna ja mene" -kokemus, joka teki OpenClaw'sta viraalisen, on sama asia, joka jätti yli 135 000 tapausta paljastuneiksi.
OpenClaw Foundation (nykyään OpenAI:n tukema Peter Steinbergerin siirron jälkeen) korjaa aktiivisesti näitä ongelmia. Versio 2026.2.22 sisältää yli 40 turvallisuuden kovennuskorjausta. Yhteisö on vahvempi tämän kokemuksen jälkeen.
Mutta vastuu on silti sinulla. Päivitä asennuksesi, ota todentaminen käyttöön, tarkasta taitosi ja aloita laillisilla API-tunnistetiedoilla AI Perks -palvelusta. Olitpa sitten pysymässä OpenClaw'ssa tai siirtymässä hallinnoituun vaihtoehtoon – tarvitset todellisia salasanoja, et varastettuja avaimia.
Älä anna turvallisuuskriisin maksaa sinulle enempää kuin sen tarvitsee. Hanki laillisia tekoälysana-salasanat ja käytä työkaluja turvallisesti osoitteessa getaiperks.com.
