AI Perks стартаптарга жана иштеп чыгуучуларга акча үнөмдөөгө жардам берүү үчүн AI куралдары, булут кызматтары жана API боюнча эксклюзивдүү арзандатууларды, кредиттерди жана сунуштарды камсыз кылат.
OpenClaw's Security Crisis - The Biggest AI Agent Scandal of 2026
OpenClaw - GitHub'да 180 000+ жылдызы бар ачык булактуу AI агенти - AI куралдарынын тарыхындагы эң начар коопсуздук кризисине кабылды. 2026-жылдын февраль айында изилдөөчүлөр 7 критикалык алсыздыкты, 135 000+ ачыкка чыккан учурларды жана расмий ClawHub базарында зыяндуу программаларды тараткан 800+ зыяндуу жөндөмдү аныкташкан.
Google OpenClaw колдонгон төлөм AI жазылуучуларын бөгөттөй баштады. Meta аны бардык жумуш шаймандарында тыюу салды. CrowdStrike, Cisco жана Nature шашылыш эскертүүлөрдү жарыялашты.
Эгер сиз OpenClaw иштетип жатсаңыз, биринчи кезекте AI Perks аркылуу мыйзамдуу API грамоталарын коопсуз кылыңыз - бузулган учурлардан алынган жашырылган жана уурдалган ачкычтар онлайн режиминде айланып баратат.
Негиздөөчүнүн бюджетин AI куралдарга үнөмдөңүз
| Программалык Камсыздоо | Болжолдуу Кредиттер | Бекитүү Индекси | Аракеттер | |
|---|---|---|---|---|
Кризистин хронологиясы - Баары кантип ачыкка чыкты
Кризис түн ичинде болгон жок. Коопсуздук изилдөөчүлөрү алсыздыктарды катмарынан катмарынан ачып чыкканда, ал үч жуманын ичинде күчөдү.
| Дата | Окуя |
|---|---|
| 29-янв | CVE-2026-25253 OpenClaw v2026.1.29 ичинде тынчтык жолу менен оңдолгон |
| 3-фев | CVE-2026-25253 коомчулукка ачыкталды - CVSS 8.8 (бир чыкылдатуу RCE) |
| 4-фев | Кошумча команда инъекциясы CVE ачыкталды |
| 5-фев | Изилдөөчүлөр ClawHubда 341 зыяндуу жөндөмдү аныкташты (~ реестрдин 12%) |
| 6-фев | Moltbook бузулушу 1,5 миллион API токендерин ачты |
| 7-8-фев | Google OpenClaw колдонгон AI жазылуучуларын чектөөнү баштады |
| 9-фев | SecurityScorecard 40 000+ ачыкка чыккан OpenClaw учурларын билдирди |
| 15-фев | Ачыкка чыккан учурлар 135 000+ чейин өстү; зыяндуу жөндөмдөр 800+ чейин өстү |
| 17-фев | Cline CLI 2.3.0 жеткирүү чынжырынын чабуулу тынчтык жолу менен OpenClaw орнотту |
| 20-фев | Meta жумуш шаймандарында OpenClaw тыюу салды; The Register толук Cline отчетун жарыялады |
Үч жума. Мына ушунчалык тез OpenClaw тарыхтагы эң кызыктуу ачык булактуу долбоордон AIдеги эң чоң коопсуздук эскертүүчү окуяга айланды.
AI Perks стартаптарга жана иштеп чыгуучуларга акча үнөмдөөгө жардам берүү үчүн AI куралдары, булут кызматтары жана API боюнча эксклюзивдүү арзандатууларды, кредиттерди жана сунуштарды камсыз кылат.
OpenClawды титиреткен 7 алсыздык
Жети CVE жумалап жарыяланды. Үчөөндө эксплойт коду бар, демек, ар ким аларды оңдолбогон учурларга каршы колдоно алат.
CVE-2026-25253 - Бир чыкылдатуу менен алыскы кодду аткаруу (CVSS 8.8)
Бул чоң эле. WhatsApp, Telegram, Discord сыяктуу каалаган билдирүү платформасы аркылуу жөнөтүлгөн зыяндуу шилтеме бир нече миллисекунд ичинде бүт OpenClaw инстанциясын уурдай алган.
Алсыздык gatewayURL суроо параметрин колдонуп, аутентификация токендерин экстроляциялады. Кол салуучу токенди алгандан кийин, алар курмандын машинасында каалаган буйруктарды аткара алышкан. Бир чыкылдатуу менен толук системалык мүмкүнчүлүк.
Оңдоо 29-январда v2026.1.29 ичинде чыгарылган, бирок CVE 3-февралга чейин коомчулукка ачыкталган эмес. Изилдөөчүлөр миңдеген учурлар жума бою оңдолбой калганын баалашты.
Башка алты CVE
| Алсыздык | Түрү | Оордугу | Таасири |
|---|---|---|---|
| SSRF (Сервер тарабындагы суроо жасалмалоо) | Тармактык | Жогорку | Кол салуучулар OpenClaw аркылуу ички кызматтарга кире алышат |
| Аутентификациянын жоктугу | Кирүү контролу | Критикалык | Ачыкка чыккан учурларды башкаруу үчүн эч кандай грамота талап кылынбайт |
| Жол боюнча бузулуу | Файл системасы | Жогорку | Хост машинасында каалаган файлдарды окуу же жазуу |
| Команда инъекциясы | Аткаруу | Жогорку | Даярдалган киргизүүлөр аркылуу системалык командаларды аткаруу |
| Токен экстроляциясы (Шлюз) | Аутентификация | Критикалык | Зыяндуу URL аркылуу сессия токендерин уурдоо |
| Коопсуз эмес демейки конфигурация | Конфигурация | Орточо | 0.0.0.0:18789га байлайт - бардык тармактык интерфейстерди угат |
Демейки конфигурация маселеси өзгөчө көңүл бурууга татыктуу. Кутудан чыкканда, OpenClaw порт 18789да бардык тармактык интерфейстерде аутентификация талап кылынбастан угат. Бул жаңы орнотулган ар бир учур ошол эле тармактагы - же порт ачык болсо, бүт интернеттеги кимдир бирөө үчүн дароо жеткиликтүү болот дегенди билдирет.
135 000 Ачыкка Чыккан Учурлар - Проблеманын масштабы
SecurityScorecard's STRIKE командасы интернет боюнча сканерлөө жүргүзүп, сандар укмуштуудай болгонун аныктады.
Негизги табылгалар:
- 135,000+ OpenClaw учурлары коомдук интернетке ачык болгон
- Ачыкка чыккан учурлардын 93,4% аутентификацияны бузуу шарттарын көрсөткөн
- 5,194 учур белгилүү CVEлерге алсыз экендиги активдүү текшерилген
- 53,000+ учурлар белгилүү коркунуч жаратуучулар менен байланышкан IP даректерине туташтырылган
Сандар тез эле көбөйдү. 9-февралдагы алгачкы көзкарандысыз изилдөө 42,665 ачыкка чыккан учурларды тапкан. Алты күндөн кийин, эсеп үч эседен ашты.
"Ачык" эмнени билдирет? Бул OpenClaw инстанциясы интернеттен аутентификациясыз жеткиликтүү дегенди билдирет. Аны тапкан ар ким буйруктарды жөнөтө алат, маалыматтарды окуй алат, туташкан билдирүү аккаунттарына кире алат жана хост машинасында кодду аткара алат.
AI Perksдон мыйзамдуу API грамоталары менен OpenClaw иштетип жаткан колдонуучулар үчүн - учуруңуз коомдук жеткиликтүү экенин дароо текшериңиз. Эгер ошондой болсо, аны өчүрүп, API ачкычтарыңызды алмаштырып, кайра туташтыруудан мурун аутентификацияны иштетиңиз.
800+ Зыяндуу Жөндөм - ClawHub Жеткирүү чынжырынын чабуулу
ClawHub - бул OpenClaw'дун расмий жөндөмдөр базары - Node.js үчүн npm же Python үчүн pip менен барабар. Кризис башталганда анда болжол менен 3,000+ жөндөм болгон.
Изилдөөчүлөр алардын 20% зыяндуу экенин аныкташкан.
5-февралдагы алгачкы сканерлөө реестр боюнча 341 зыяндуу жөндөмдү аныктаган. 15-февралдагы кийинки сканерлөө сандардын 800+ чейин өскөнүн тапкан - бул ClawHub жөндөмдөрүнүн бештен бири колдонуучунун маалыматтарын уурдоо үчүн иштелип чыккан дегенди билдирет.
Зыяндуу жөндөмдөр эмне кылат
Негизги жүктөлүүчүсү Atomic macOS Stealer (AMOS) болгон - бул белгилүү паролду уурдоочу зыяндуу программа, ал төмөнкүлөрдү бутага алат:
- Браузер сырсөздөрү жана кукилери (Chrome, Firefox, Safari, Brave)
- Криптовалюта капчыктары (MetaMask, Phantom, Coinbase Wallet)
- macOSтогу Keychain сырсөздөрү
- Системалык грамоталар жана SSH ачкычтары
Бул мезгилде текшерилбеген ClawHub жөндөмүн орноткон колдонуучулар алардын грамоталары бузулган деп божомолдошу керек.
Cline CLI Жеткирүү чынжырынын чабуулу (17-фев)
17-февралда, коопсуздук изилдөөчүлөрү Cline CLI версия 2.3.0 - популярдуу буйрук сабы куралы - колдонуучулардын машиналарында OpenClawды тынчтык жолу менен орнотуу үчүн бузулганын аныкташкан. Зыяндуу версия аныкталып, алынганга чейин болжол менен 8 саат бою жеткиликтүү болгон.
Бул мезгилде болжол менен 4000 жүктөө болгон. Бул мезгилде Cline CLI орноткон колдонуучулар билбестиктен OpenClaw инстанциясы иштеп жатышы мүмкүн.
Google жана Meta OpenClaw тыюу салды - Индустриянын жообу
Коопсуздук кризиси технологиянын ири аттарынан корпоративдик реакцияны жаратты.
Google Google'дун AI моделдерине жетүү үчүн OpenClaw колдонгон төлөм Gemini AI жазылуучуларын (айына 249 долларлык пландар) жапырт чектөөнү баштады. Колдонуучулар эскертүүсүз тыюу салынып, төлөп жаткан кызматтарына жеткиликтүүлүгүн жоготконун билдиришкен. Google'дун позициясы: AI моделдерине жетүү үчүн үчүнчү тараптын куралдарын колдонуу кызмат көрсөтүү шарттарын бузат.
Meta бардык жумуш шаймандарында OpenClaw тыюу салган ички директива чыгарды. Кызматкерлер OpenClaw колдонуу жумуштан бошотууга алып келиши мүмкүн деп эскертилген. Корея Таймс гезитинин отчетторуна ылайык, башка бир нече технологиялык фирмалар да ушундай эле кадамдарга барышкан.
CrowdStrike OpenClawды "коопсуздуктун жаңы классы - көпчүлүк колдонуучулар негизги коопсуздук гигиенасысыз орноткон кеңири системалык мүмкүнчүлүгү бар автономдук агент" деп атап, деталдуу кеңеш жарыялаган.
Cisco OpenClaw сыяктуу жеке AI агенттерин өз коопсуздук тобунун блогунда "коопсуздук түшү", деп сыпаттаган.
Nature "OpenClaw AI чатботтору жамандык кылып жатат - бул окумуштуулар угуп жатышат" деген аталыштагы макала жарыялап, академиялык коомчулуктун тынчсыздануусун документтешти.
Индустриядан келген билдирүү ачык эле: OpenClaw күчтүү, бирок демейки коопсуздук абалы профессионалдык колдонуу үчүн кабыл алынгыс.
Эгер сиз OpenClaw иштетип жатсаңыз, өзүңүздү коргоонун жолдору
Кризис олуттуу, бирок OpenClaw туура сактык чаралары менен колдонула берет. Бул жерде эң маанилүүсү менен башталган зарыл кадамдар.
Кадам 1: Мыйзамдуу API кредиттерин алыңыз
Интернеттен алынган жашырылган, бөлүшүлгөн же "акысыз" API ачкычтарын эч качан колдонбоңуз. Moltbook бузулушу 1,5 миллион API токендерин ачты. Уурдалган ачкычтар караңгы веб-форумдарда жана Telegram каналдарында айланууда.
AI Perks аркылуу өз мыйзамдуу кредиттериңизди алыңыз:
| Кредит программасы | Бар болгон кредиттер | Кантип алуу |
|---|---|---|
| Anthropic Claude (Түз) | $1,000 - $25,000 | AI Perks Guide |
| OpenAI (GPT-4) | $500 - $50,000 | AI Perks Guide |
| AWS Activate (Bedrock) | $1,000 - $100,000 | AI Perks Guide |
| Microsoft Founders Hub | $500 - $1,000 | AI Perks Guide |
Жалпы потенциал: $3,000 - $176,000 мыйзамдуу кредиттерде
AI Perksдон өз ачкычтарыңыз менен, сиз эмне ачыкка чыкканын көзөмөлдөйсүз. Бузулуу болсо, бузулган инфраструктурага таянбай, ачкычтарыңызды дароо алмаштыра аласыз.
Кадам 2: Дароо v2026.2.22ге чейин жаңыртыңыз
Акыркы чыгарылыш 40+ коопсуздукту бекемдөөчү оңдоолорду, шлюз аутентификациясын жана түзмөк башкарууну камтыйт. Версияңызды текшерип, жаңыртыңыз:
openclaw --version
openclaw update
2026.1.29га чейинки ар кандай версия бир чыкылдатуу RCEге алсыз. 2026.2.22ге чейинки ар кандай версия критикалык коопсуздукту бекемдөөнү сагынат.
Кадам 3: Аутентификацияны иштетиңиз
OpenClaw демейки боюнча өчүрүлгөн аутентификация менен келет. Бул ачыкка чыккан учурлардын 93,4% аутентификацияны бузуунун эң чоң себеби.
Конфигурацияңызда аны иштетиңиз:
security:
authentication: true
gateway_auth: true
Кадам 4: Орнотулган жөндөмдөрүңүздү аудиттен өткөрүңүз
Жеке өзүңүз текшерген ClawHub жөндөмүн жок кылыңыз. Реестрдин 20% бузулгандыктан, эң коопсуз ыкма - баарын өчүрүп, сиз карап чыккан жөндөмдөрдү гана кайра орнотуу:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
Кадам 5: Толук бекемдөөчү колдонмону аткарыңыз
Тармак чектөөлөрүн, кум кутуча конфигурациясын, логингди жана чыгаша чектерин камтыган толук 10 кадамдуу коопсуздук контролдук тизмеси үчүн - биздин OpenClaw Security Guide окуңуз.
Карап чыгууга татыктуу коопсуз альтернативалар
Эгер коопсуздук кризиси сизди OpenClawду кайра карап чыгууга мажбур кылса, коопсуздукту сиз үчүн башкарган башкарылган альтернативалар бар. Компромисс: азыраак ыңгайлаштыруу, бирок тынчсыздана турган CVEлер жок.
| Өзгөчөлүк | OpenClaw (Өз алдынча иштетүү) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Коопсуздук модели | Баарын сиз башкарасыз | Anthropic тарабынан башкарылат | Meta тарабынан башкарылат | OpenAI тарабынан башкарылат |
| CVE тарыхы | 2026-жылдын февраль айында 7 CVE | Коомдук эч нерсе жок | Коомдук эч нерсе жок | Коомдук эч нерсе жок |
| Маалымат жайгашкан жери | Сиздин түзмөгүңүз | Булут | Булут кум кутучасы | Булут |
| Ыңгайлаштыруу | Толук контрол | Кодга багытталган | Тапшырмага багытталган | Жалпы максаттуу |
| Баасы | API кредиттери гана | $20-$200/ай | $39-$199/ай | $20-$200/ай |
Ар бир альтернатива толук кубаттуулукта иштөө үчүн AI API кредиттерин талап кылат. AI Perks Anthropic, OpenAI, AWS, Google Cloud ж.б. үчүн кредиттик программаларды камтыйт - андыктан кайсы куралды тандабасаңыз да, сиз жабыксыз.
Ар бир альтернативанын толук талдап көрүү үчүн, биздин Best OpenClaw Alternatives колдонмосун караңыз.
Көп берилүүчү суроолор
OpenClaw 2026-жылдын февраль айында хакердикке кабылганбы?
OpenClaw өзү салттуу мааниде хакердикке кабылган эмес. Жети критикалык алсыздык аныкталып, жарыяланды, 135 000+ учурлар интернетке аутентификациясыз ачыкталгандыгы аныкталды жана ClawHubда 800+ зыяндуу жөндөмдөр паролду уурдоочу зыяндуу программаларды тараткан. Moltbook бузулушу да 1,5 миллион API токендерин ачты.
Азыр OpenClaw колдонуу коопсузбу?
Ооба, туура конфигурация менен. v2026.2.22ге чейин жаңыртыңыз, аутентификацияны иштетиңиз, жөндөмдөрүңүздү аудиттен өткөрүңүз жана AI Perksдон мыйзамдуу API грамоталарын колдонуңуз. Оңдолбогон демейки орнотуу коопсуз эмес - бирок акыркы патчтары бар туура конфигурацияланган учур бардык белгилүү алсыздыктарды чечет.
Google OpenClaw колдонуучуларын эмне үчүн тыюу салды?
Google Google'дун AI моделдерине үчүнчү тараптын куралдары аркылуу жетүү үчүн OpenClaw колдонгон төлөм Gemini AI жазылуучуларын чектеди. Бул Google'дун кызмат көрсөтүү шарттарын бузат. Колдонуучулар айына 249 долларлык пландарга эскертүүсүз жеткиликтүүлүгүн жоготконун билдиришкен. Турмуштук жазылуулардын ордуна AI Perksдан түз API кредиттерин колдонуңуз.
Cline CLI жеткирүү чынжырынын чабуулу деген эмне?
2026-жылдын 17-февралында Cline CLI версия 2.3.0 колдонуучулардын машиналарында OpenClawды тынчтык жолу менен орнотуу үчүн бузулган. Зыяндуу версия аныкталып, алынганга чейин болжол менен 8 саат бою жеткиликтүү болгон. Болжол менен 4000 жүктөө болгон. Эгер сиз бул мезгилде Cline CLI орноткон болсоңуз, уруксатсыз OpenClaw орнотууларын текшериңиз.
ClawHubда канча зыяндуу OpenClaw жөндөмү бар?
2026-жылдын орто чениндеги абалы боюнча, изилдөөчүлөр ClawHubда 800+ зыяндуу жөндөмдү табышкан - бул бүт реестрдин болжол менен 20%. Негизги жүктөлүүчүсү Atomic macOS Stealer (AMOS) болуп саналат, ал браузер сырсөздөрүн, криптовалюта капчыктарын жана системалык грамоталарды бутага алат. Сиз жеке карап чыккан жөндөмдөрдү гана орнотуңуз.
OpenClaw инстанциям ачыкка чыкса, эмне кылышым керек?
Дароо: инстанцияны өчүрүп, бардык API ачкычтарын алмаштырып, туташкан бардык аккаунттардын (электрондук почта, билдирүү платформалары, крипто капчыктары) сырсөздөрүн өзгөртүп, зыяндуу программаларды сканерлеңиз. Андан кийин v2026.2.22ге чейин жаңыртып, аутентификацияны иштетип, кайра туташтыруудан мурун AI Perksдан жаңы мыйзамдуу API кредиттерин алыңыз.
Коопсуздук кризисинен кийин OpenClaw колдонуу арзырлыкпы?
OpenClaw эң кубаттуу ачык булактуу AI агенти бойдон калууда. Коопсуздук маселелери коопсуз эмес демейки орнотуулардан жана тез өсүп жаткан жөндөмдөр экосистемасынан келип чыгат - негизги дизайн кемчиликтеринен эмес. Туура бекемдөө, мыйзамдуу грамоталар жана этият жөндөмдөрүн башкаруу менен, ал дагы эле кызыктуу курал. Негизги сабак: аны эч качан демейки жөндөөлөр менен иштетпеңиз.
Коопсуздук кризиси AI агенттери үчүн ойготкуч коңгуроо
OpenClaw кризиси чындыкты ачты: системалык деңгээлдеги мүмкүнчүлүгү бар ачык булактуу AI агенттери олуттуу коопсуздук гигиенасын талап кылат. OpenClawды вирус кылып жараткан "орнотуп жана кет" тажрыйбасы 135 000+ учурларды ачыкка чыгарды.
OpenClaw Foundation (азыр OpenAI тарабынан Peter Steinberger'дин которуусунан кийин колдоого алынган) бул маселелерди жигердүү оңдоп жатат. 2026.2.22 версиясы 40+ коопсуздукту бекемдөөчү патчтарды камтыйт. Коомчулук муну аркылуу күчтүүрөк болду.
Бирок жоопкерчилик сизге түшөт. Орнотууңузду жаңыртыңыз, аутентификацияны иштетиңиз, жөндөмдөрүңүздү аудиттен өткөрүңүз жана AI Perksдан мыйзамдуу API грамоталары менен баштаңыз. OpenClaw менен калсаңыз да же башкарылган альтернативага өтсөңүз да - сизге уурдалган ачкычтар эмес, чыныгы кредиттер керек.
Коопсуздук кризиси сизге керектен ашыкча чыгымга учуратуусуна жол бербеңиз. Мыйзамдуу AI кредиттерин алып, куралдарыңызды getaiperks.com да коопсуз иштетиңиз.
