AI Perks стартаптар мен әзірлеушілерге ақша үнемдеуге көмектесу үшін AI құралдары, бұлттық қызметтер және API бойынша эксклюзивті жеңілдіктерге, кредиттерге және ұсыныстарға қол жеткізуді қамтамасыз етеді.
OpenClaw-тың Қауіпсіздік Дағдарысы - 2026 жылғы ең ірі AI Агенті scandals
OpenClaw - 180,000+ GitHub жұлдызы бар ашық бастапқы AI агенті - AI құралдары тарихындағы ең нашар қауіпсіздік дағдарысына тап болды. 2026 жылдың ақпанында зерттеушілер 7 критикалық осалдықты, 135,000-нан астам ашық орналастырылымды және ресми ClawHub сауда алаңы арқылы зиянды бағдарламалық жасақтаманы жеткізетін 800-ден астам зиянкестік дағдыны анықтады.
Google OpenClaw пайдаланатын ақылы AI жазылушыларын бұғаттай бастады. Meta оны барлық жұмыс құрылғыларында тыйым салды. CrowdStrike, Cisco және Nature шұғыл ескертулер жариялады.
Егер сіз OpenClaw-ды іске қоссаңыз, ең алдымен AI Perks арқылы заңды API тіркелгі деректерін қамтамасыз етіңіз - бұзылған орналастырылымдардан алынған жасырынған және ұрланған кілттер қазірдің өзінде онлайн таралуда.
AI құралдарында стартап бюджетіңізді үнемдеңіз
| Software | Шамам Кредиттер | Бекіту Индексі | Әрекеттер | |
|---|---|---|---|---|
Дағдарыс уақыт кестесі - Бәрі қалай өрбіді
Дағдарыс бір түнде болған жоқ. Қауіпсіздік зерттеушілері осалдықтың қабаттарын ашқан кезде, ол үш апта ішінде өршіп кетті.
| Күні | Оқиға |
|---|---|
| 29 қаңтар | CVE-2026-25253 OpenClaw v2026.1.29 нұсқасында жасырын түрде жөнделді |
| 3 ақпан | CVE-2026-25253 жария түрде жарияланды - CVSS 8.8 (бір реттік RCE) |
| 4 ақпан | Қосымша командалық инъекция CVE жарияланды |
| 5 ақпан | Зерттеушілер ClawHub-да 341 зиянкестік дағдыны анықтады (~тіркеудің 12%) |
| 6 ақпан | Moltbook бұзылуы 1,5 миллион API токенін ашты |
| 7-8 ақпан | Google OpenClaw пайдаланатын AI жазылушыларын шектей бастады |
| 9 ақпан | SecurityScorecard 40,000-нан астам ашық OpenClaw орналастырылымдарын хабарлады |
| 15 ақпан | Ашық орналастырылымдар 135,000-нан асты; зиянкестік дағдылар 800-ден асты |
| 17 ақпан | Cline CLI 2.3.0 жеткізу тізбегі шабуылы OpenClaw-ды жасырын түрде орнатты |
| 20 ақпан | Meta жұмыс құрылғыларында OpenClaw-ды тыйым салды; The Register толық Cline есебін жариялады |
Үш апта. Міне, OpenClaw тарихдағы ең қызықты ашық бастапқы жобадан AI-дағы ең үлкен қауіпсіздік ескертуіне дейін осылайша жылдам кетті.
AI Perks стартаптар мен әзірлеушілерге ақша үнемдеуге көмектесу үшін AI құралдары, бұлттық қызметтер және API бойынша эксклюзивті жеңілдіктерге, кредиттерге және ұсыныстарға қол жеткізуді қамтамасыз етеді.
OpenClaw-ды сілкіндірген 7 осалдық
Жеті CVE бір-бірінен бірнеше апта ішінде жарияланды. Үшеуінің экспорттық кодтары бар, яғни оларды кез келген адам жөнделмеген орналастырылымдарға қарсы қолдана алады.
CVE-2026-25253 - Бір реттік қашықтағы кодты орындау (CVSS 8.8)
Бұл үлкені болды. Кез келген хабар алмасу платформасы арқылы жіберілген зиянкестік сілтеме - WhatsApp, Telegram, Discord - бірнеше миллисекунд ішінде бүкіл OpenClaw орналастырылымды басып ала алды.
Осалдық авторизация токендерін шығару үшін gatewayURL сұраныс параметрін пайдаланды. Шабуылшы токенді алғаннан кейін, олар жәбірленушінің машинасына кез келген командаларды орындай алды. Бір реттік басу арқылы толық жүйеге қол жеткізу.
Жөндеу 29 қаңтарда v2026.1.29 нұсқасында шығарылды, бірақ CVE 3 ақпанға дейін жарияланған жоқ. Зерттеушілер бірнеше апта бойы мыңдаған орналастырылымдардың жөнделмегенін бағалайды.
Қалған алты CVE
| Осалдық | Түрі | Қауіптілігі | Әсері |
|---|---|---|---|
| SSRF (Сервер-тарапындағы сұраныс қорғанысы) | Желі | Жоғары | Шабуылшылар OpenClaw арқылы ішкі қызметтерге қол жеткізеді |
| Авторизацияның болмауы | Кіруді басқару | Критикалық | Ашық орналастырылымдарды басқару үшін тіркелгі деректері талап етілмейді |
| Жолды ауыстыру | Файл жүйесі | Жоғары | Хост машинасына кез келген файлдарды оқуға немесе жазуға мүмкіндік береді |
| Командалық инъекция | Орындау | Жоғары | Дайындалған кірістер арқылы жүйе командаларын орындау |
| Токенді шығару (Gateway) | Авторизация | Критикалық | Зиянкестік URL арқылы сессия токендерін ұрлау |
| Қауіпсіз емес әдепкі конфигурация | Конфигурация | Орташа | 0.0.0.0:18789-ға қосылады - барлық желілік интерфейстерде тыңдайды |
Әдепкі конфигурация мәселесі ерекше назар аударуға тұрарлық. Қораптан шыққан кезде, OpenClaw порт 18789-да барлық желілік интерфейстерде авторизация талап етілмей тыңдайды. Бұл әрбір жаңадан орнатылған орналастырылым бірдей желідегі - немесе порт ашық болса, бүкіл интернеттегі кез келген адамға бірден қолжетімді екенін білдіреді.
135,000 Ашық Орналастырылым - Проблеманың ауқымы
SecurityScorecard-тың STRIKE командасы интернетті сканерлеуді жүргізді және сандар таң қалдыратынын анықтады.
Негізгі нәтижелер:
- 135,000+ OpenClaw орналастырылымдары интернетке ашық
- Ашық орналастырылымдардың 93.4% авторизацияны айналып өту жағдайларын көрсетті
- Белгілі CVE-ларға осал деп белсенді түрде тексерілген 5,194 орналастырылым
- Белгілі қатерлі жақтармен байланысты IP мекенжайларына тіркелген 53,000+ орналастырылым
Сандар тез өсті. 9 ақпандағы алдыңғы тәуелсіз зерттеу 42,665 ашық орналастырылымды анықтады. Алты күннен кейін саны үш еседен асты.
"Ашық" деген не білдіреді? Бұл OpenClaw орналастырылымдарының интернеттен авторизациясыз қол жетімді екенін білдіреді. Оны тапқан кез келген адам командаларды жібере алады, деректерді оқи алады, байланыстырылған хабар алмасу аккаунттарына қол жеткізе алады және хост машинасына кодты орындай алады.
AI Perks сайтынан заңды API тіркелгілерімен OpenClaw-ды іске қосатын пайдаланушылар үшін - сіздің орналастырылымыңыздың қоғамдық қолжетімді екенін дереу тексеріңіз. Егер солай болса, оны өшіріңіз, API кілттеріңізді ауыстырыңыз және қайта қосу алдында авторизацияны қосыңыз.
800+ Зиянкестік Дағды - ClawHub Жеткізу Тізбегі Шабуылы
ClawHub - OpenClaw-тың ресми дағдылар сауда алаңы - Node.js үшін npm немесе Python үшін pip-ке балама. Дағдарыс басталған кезде шамамен 3,000+ дағды болған.
Зерттеушілер олардың 20% зиянкестік екенін анықтады.
5 ақпандағы бастапқы сканерлеу тіркеуде 341 зиянкестік дағдыны анықтады. 15 ақпандағы қосымша сканерлеу бұл санның 800+ дейін өскенін көрсетті - бұл ClawHub дағдыларының шамамен бестен бірі пайдаланушы деректерін ұрлау үшін жасалғанын білдіреді.
Зиянкестік Дағдылар Не Істейді
Негізгі жүктелгені Atomic macOS Stealer (AMOS) болды - бұл келесілерге бағытталған танымал тіркелгі деректерін ұрлаушы зиянды бағдарламалық жасақтама:
- Браузер парольдері мен кукилері (Chrome, Firefox, Safari, Brave)
- Криптовалюта әмияндары (MetaMask, Phantom, Coinbase Wallet)
- macOS-тағы Keychain парольдері
- Жүйе тіркелгілері және SSH кілттері
Осы кезеңде тексерілмеген ClawHub дағдысын орнатқан пайдаланушылар өздерінің тіркелгі деректерінің бұзылғанын қабылдауы керек.
Cline CLI Жеткізу Тізбегі Шабуылы (17 ақпан)
17 ақпанда қауіпсіздік зерттеушілері Cline CLI 2.3.0 нұсқасы - танымал командалық жол құралы - пайдаланушылардың машиналарына OpenClaw-ды жасырын түрде орнату үшін бұзылғанын анықтады. Зиянкестік нұсқа анықталып, алынғанға дейін шамамен 8 сағат бойы белсенді болды.
Осы кезеңде шамамен 4,000 жүктеу болған. Осы кезеңде Cline CLI-ді орнатқан пайдаланушылар олардың білмегенінше OpenClaw орналастырылымды іске қосуы мүмкін.
Google және Meta OpenClaw-ды тыйым салды - Саланың реакциясы
Қауіпсіздік дағдарысы технологияның ең ірі брендтерінен корпоративтік қарсылық тудырды.
Google Google-дың AI модельдеріне қол жеткізу үшін OpenClaw пайдаланған ақылы Gemini AI Pro және Ultra жазылушыларын (айына $249 жоспарлар) жаппай шектей бастады. Пайдаланушылар ескертусіз бұғатталғанын, төлеген қызметтеріне қол жеткізуді жоғалтқанын хабарлады. Google-дың ұстанымы: AI модельдеріне қол жеткізу үшін үшінші тарап құралдарын пайдалану қызмет көрсету шарттарын бұзады.
Meta барлық жұмыс құрылғыларында OpenClaw-ды тыйым салатын ішкі директива шығарды. Қызметкерлер OpenClaw пайдалану жұмыстан шығаруға әкелуі мүмкін деп ескертілді. Korea Times-тың хабарлауынша, басқа бірнеше технологиялық компаниялар да осылай істеді.
CrowdStrike OpenClaw-ды "қауіпсіздік тәуекелінің жаңа класы - көптеген пайдаланушылар негізгі қауіпсіздік гигиенасынсыз орнататын кең жүйеге қол жеткізуі бар автономды агент" деп атап, толықтырылған кеңес жариялады.
Cisco OpenClaw сияқты жеке AI агенттерін өздерінің қауіпсіздік командасының блог жазбасында "қауіпсіздік түсі" деп сипаттады.
Nature "OpenClaw AI чатботтары бей-жай жүріп жатыр - бұл ғалымдар тыңдап отыр" деген мақала жариялады, академик қоғамдастықтың өсіп келе жатқан алаңдаушылығын құжаттады.
Саладан келген хабарлама анық болды: OpenClaw - қуатты, бірақ әдепкі қауіпсіздік жағдайы кәсіби пайдалану үшін қолайсыз.
Егер сіз OpenClaw-ды іске қоссаңыз, өзіңізді қалай қорғауға болады
Дағдарыс ауыр, бірақ OpenClaw әлі де тиісті сақтық шараларымен қолданыла алады. Міне, ең маңыздысынан басталатын маңызды қадамдар.
Қадам 1: Заңды API несиелерін алыңыз
Интернеттен жасырынған, ортақ немесе "тегін" API кілттерін ешқашан пайдаланбаңыз. Moltbook бұзылуы 1,5 миллион API токенін ашты. Ұрланған кілттер қара базар форумдары мен Telegram арналарында таралуда.
AI Perks арқылы өз заңды несиелеріңізді алыңыз:
| Несие бағдарламасы | Қол жетімді несиелер | Қалай алуға болады |
|---|---|---|
| Anthropic Claude (Тікелей) | $1,000 - $25,000 | AI Perks нұсқаулығы |
| OpenAI (GPT-4) | $500 - $50,000 | AI Perks нұсқаулығы |
| AWS Activate (Bedrock) | $1,000 - $100,000 | AI Perks нұсқаулығы |
| Microsoft Founders Hub | $500 - $1,000 | AI Perks нұсқаулығы |
Жалпы әлеует: $3,000 - $176,000 заңды несиелерде
AI Perks сайтынан өзіңіздің кілттеріңізбен, сіз не ашық екенін бақылайсыз. Егер бұзылу болса, сіз бұзылған инфрақұрылымға тәуелді болмай, өз кілттеріңізді дереу ауыстыра аласыз.
Қадам 2: Дереу v2026.2.22 нұсқасына жаңартыңыз
Соңғы нұсқа 40-тан астам қауіпсіздікті нығайту жөндеулерін, шлюз авторизациясын және құрылғыларды басқаруды қамтиды. Нұсқаңызды тексеріп, жаңартыңыз:
openclaw --version
openclaw update
2026.1.29 дейінгі кез келген нұсқа бір реттік RCE-ға осал. 2026.2.22 дейінгі кез келген нұсқада маңызды қауіпсіздікті нығайту жоқ.
Қадам 3: Авторизацияны қосыңыз
OpenClaw әдепкі бойынша өшірілген авторизациямен келеді. Бұл ашық орналастырылымдардың 93.4%-ының авторизацияны айналып өтуінің ең үлкен себебі.
Конфигурацияңызда оны қосыңыз:
security:
authentication: true
gateway_auth: true
Қадам 4: Орнатылған дағдыларыңызды тексеріңіз
Жеке өзіңіз тексермеген кез келген ClawHub дағдысын жойыңыз. Тіркеудің 20% бұзылған жағдайда, ең қауіпсіз тәсіл - бәрін жойып, тек қарап шыққан дағдыларды қайта орнату:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
Қадам 5: Толық нығайту нұсқаулығын орындаңыз
Желі шектеулерін, құмсалғыш конфигурациясын, журналдарды және шығындарды шектеулерді қамтитын толық 10 қадамдық қауіпсіздік тізімі үшін - біздің OpenClaw қауіпсіздік нұсқаулығымызды оқыңыз.
Қарастыруға тұрарлық қауіпсіз баламалар
Егер қауіпсіздік дағдарысы сізді OpenClaw-ды қайта қарауға мәжбүр етсе, қауіпсіздікті өзіңіз басқаратын басқарылатын баламалар бар. Сауда: азырақ customization, бірақ ешқандай CVE-лар туралы алаңдаудың қажеті жоқ.
| Мүмкіндік | OpenClaw (Өз бетінше орнатылған) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Қауіпсіздік моделі | Барлығын сіз басқарасыз | Anthropic-басқарылатын | Meta-басқарылатын | OpenAI-басқарылатын |
| CVE Тарихы | 7 CVE 2026 ақпан айында | Жоқ жария | Жоқ жария | Жоқ жария |
| Деректер орналасқан жері | Сіздің құрылғыңыз | Облак | Облак құмсалғыш | Облак |
| Customization | Толық бақылау | Кодқа бағытталған | Тапсырмаға бағытталған | Жалпы мақсатты |
| Бағасы | Тек API несиелері | $20-$200/ай | $39-$199/ай | $20-$200/ай |
Әрбір баламаға толық қуатта істеу үшін AI API несиелері қажет. AI Perks Anthropic, OpenAI, AWS, Google Cloud және т.б. үшін несие бағдарламаларын қамтиды - сондықтан сіз қандай құралды таңдасаңыз да, қамтамасыз етілгенсіз.
Әрбір баламаның толық талдауы үшін біздің Ең жақсы OpenClaw баламалары нұсқаулығын қараңыз.
Жиі Қойылатын Сұрақтар
OpenClaw 2026 жылдың ақпанында бұзылды ма?
OpenClaw өзі дәстүрлі мағынада бұзылмады. Жеті критикалық осалдық анықталып, жарияланды, 135,000-нан астам орналастырылымдар интернетке авторизациясыз ашық күйде табылды, ал ClawHub-да 800-ден астам зиянкестік дағдылар тіркелгі деректерін ұрлайтын зиянды бағдарламалық жасақтаманы жеткізуде. Moltbook бұзылуы сондай-ақ 1,5 миллион API токенін ашты.
OpenClaw-ды қазір қолдану қауіпсіз бе?
Иә, дұрыс конфигурациямен. v2026.2.22 нұсқасына жаңартыңыз, авторизацияны қосыңыз, дағдыларыңызды тексеріңіз және AI Perks сайтынан заңды API тіркелгілерін қолданыңыз. Қатты нығайтылмаған әдепкі орнату қауіпсіз емес - бірақ соңғы патчтермен дұрыс конфигурацияланған орналастырылым барлық белгілі осалдықтарды жояды.
Google OpenClaw пайдаланушыларын неге бұғаттады?
Google Google-дың AI модельдеріне үшінші тарап құралдары арқылы қол жеткізу үшін OpenClaw пайдаланған ақылы Gemini AI жазылушыларын шектеді. Бұл Google-дың қызмет көрсету шарттарын бұзады. Пайдаланушылар айына $249 жоспарларын ескертусіз жоғалтқанын хабарлады. Тұтынушы жазылымдарының орнына AI Perks сайтынан тікелей API несиелерін пайдаланыңыз.
Cline CLI жеткізу тізбегі шабуылы дегеніміз не?
17 ақпанда 2026 жылы Cline CLI 2.3.0 нұсқасы пайдаланушылардың машиналарына OpenClaw-ды жасырын түрде орнату үшін бұзылды. Зиянкестік нұсқа алынғанға дейін шамамен 8 сағат бойы белсенді болды. Шамамен 4,000 жүктеу болған. Егер сіз осы кезеңде Cline CLI-ді орнатқан болсаңыз, рұқсат етілмеген OpenClaw орнатылымдарын тексеріңіз.
ClawHub-да қанша зиянкестік OpenClaw дағдысы бар?
2026 жылдың ақпан айының ортасына қарай зерттеушілер ClawHub-да 800-ден астам зиянкестік дағдыны тапты - бұл бүкіл тіркеудің шамамен 20%. Негізгі жүктелгені Atomic macOS Stealer (AMOS), ол браузер парольдерін, криптовалюта әмияндарын және жүйе тіркелгілерін нысанаға алады. Тек өзіңіз қарап шыққан дағдыларды орнатыңыз.
Менің OpenClaw орналастырылым ашық болса, не істеуім керек?
Дереу: орналастырылымды өшіріңіз, барлық API кілттерін ауыстырыңыз, байланыстырылған аккаунттардың (электрондық пошта, хабар алмасу платформалары, крипто әмияндары) парольдерін өзгертіңіз және зиянды бағдарламалық жасақтаманы сканерлеңіз. Содан кейін v2026.2.22 нұсқасына жаңартыңыз, авторизацияны қосыңыз және қайта қоспас бұрын AI Perks сайтынан жаңа заңды API несиелерін алыңыз.
Қауіпсіздік дағдарысынан кейін OpenClaw-ды пайдалану әлі де тұрарлық па?
OpenClaw әлі де қол жетімді ең қуатты ашық бастапқы AI агенті болып қала береді. Қауіпсіздік мәселелері қауіпсіз емес әдепкі параметрлерден және жылдам өсіп жатқан дағдылар экожүйесінен туындайды - негізгі дизайн кемшіліктерінен емес. Тиісті нығайту, заңды тіркелгі деректері және мұқият дағдыларды басқару арқылы, бұл әлі де тартымды құрал. Негізгі сабақ: оны ешқашан әдепкі параметрлермен іске қоспаңыз.
Қауіпсіздік Дағдарысы AI Агенттері үшін Ояту Қоңырауы
OpenClaw дағдарысы шындықты ашты: жүйелік деңгейдегі қол жетімділігі бар ашық бастапқы AI агенттеріне қауіпсіздік гигиенасы қажет. OpenClaw-ды виралды еткен әдепкі "орнату және іске қосу" тәжірибесі 135,000-нан астам орналастырылымды ашық қалдырған нәрсе.
OpenClaw Қоры (Peter Steinberger-дің ауысуынан кейін OpenAI қолдауымен) бұл мәселелерді белсенді түрде шешуде. 2026.2.22 нұсқасы 40-тан астам қауіпсіздікті нығайту патчін қамтиды. Қауымдастық мұны бастан өткергені үшін күштірек.
Бірақ жауапкершілік әлі де сізге жүктеледі. Орнатуды жаңартыңыз, авторизацияны қосыңыз, дағдыларыңызды тексеріңіз және AI Perks сайтынан заңды API тіркелгілерімен бастаңыз. OpenClaw-да қалуды немесе басқарылатын баламаға ауысуды таңдасаңыз да - сізге ұрланған кілттер емес, нақты несиелер қажет.
getaiperks.com сайтында жазылыңыз →
Қауіпсіздік дағдарысы сізге қосымша шығын әкелмесін. Заңды AI несиелерін алыңыз және getaiperks.com сайтында құралдарыңызды қауіпсіз іске қосыңыз.
