AI Perks nodrošina piekļuvi ekskluzīvām atlaidēm, kredītiem un piedāvājumiem AI rīkiem, mākoņpakalpojumiem un API, lai palīdzētu jaunuzņēmumiem un izstrādātājiem ietaupīt naudu.
OpenClaw's Drošības Krīze - Lielākais AI Aģentu Skandāls 2026. Gadā
OpenClaw - atvērtā pirmkoda AI aģents ar vairāk nekā 180 000 GitHub zvaigžņu - saskāries ar sliktāko drošības krīzi AI rīku vēsturē. 2026. gada februārī pētnieki atklāja 7 kritiskas ievainojamības, vairāk nekā 135 000 atklātu instanču un vairāk nekā 800 ļaunprātīgu prasmju, kas piegādāja ļaunprogrammatūru oficiālajā ClawHub tirgū.
Google sāka aizliegt maksājošos AI abonentus, kuri izmanto OpenClaw. Meta to aizliedza visās darba ierīcēs. CrowdStrike, Cisco un Nature publicēja steidzamus brīdinājumus.
Ja izmantojat OpenClaw, pirmkārt, ir jāaizsargā likumīgi API akreditācijas dati, izmantojot AI Perks - nopludinātās un nozagtās atslēgas no apdraudētajām instancēm jau izplatās tiešsaistē.
Ietaupiet sava jaunuzņēmuma budžetu AI rīkiem
| Software | Apm Krediti | Apstiprinasanas Indekss | Darbibas | |
|---|---|---|---|---|
Krīzes Laika Līnija - Kā Tas Viss Attīstījās
Krīze nenotika vienā naktī. Tā eskalējās trīs nedēļu laikā, jo drošības pētnieki atklāja arvien vairāk ievainojamību.
| Datums | Notikums |
|---|---|
| Jan 29 | CVE-2026-25253 klusi izlabota OpenClaw v2026.1.29 |
| Feb 3 | CVE-2026-25253 publiski atklāta - CVSS 8.8 (vienas klikšķa RCE) |
| Feb 4 | Atklāta papildu komandu injekcijas CVE |
| Feb 5 | Pētnieki atklāj 341 ļaunprātīgu prasmi ClawHub (~12% no reģistra) |
| Feb 6 | Moltbook pārtraukums atklāj 1,5 miljonus API žetonu |
| Feb 7-8 | Google sāk ierobežot AI abonentus, kuri izmanto OpenClaw |
| Feb 9 | SecurityScorecard ziņo par vairāk nekā 40 000 atklātām OpenClaw instancēm |
| Feb 15 | Atklāto instanču skaits pieaug līdz 135 000+; ļaunprātīgo prasmju skaits pieaug līdz 800+ |
| Feb 17 | Cline CLI 2.3.0 piegādes ķēdes uzbrukums slepeni instalē OpenClaw |
| Feb 20 | Meta aizliedz OpenClaw darba ierīcēs; The Register publicē pilnu Cline ziņojumu |
Trīs nedēļas. Tikai tik ātri OpenClaw no visinteresantākā atvērtā pirmkoda projekta vēsturē kļuva par lielāko drošības brīdinājuma stāstu AI jomā.
AI Perks nodrošina piekļuvi ekskluzīvām atlaidēm, kredītiem un piedāvājumiem AI rīkiem, mākoņpakalpojumiem un API, lai palīdzētu jaunuzņēmumiem un izstrādātājiem ietaupīt naudu.
7 ievainojamības, kas satricināja OpenClaw
Septiņas CVE tika atklātas viena pēc otras dažu nedēļu laikā. Trīs ir pieejams publisks izmantošanas kods, kas nozīmē, ka ikviens var tos izmantot pret neizlabotām instancēm.
CVE-2026-25253 - Vienas klikšķa attālinātā koda izpilde (CVSS 8.8)
Šī bija lielākā. Ļaunprātīga saite, kas nosūtīta caur jebkuru ziņojumapmaiņas platformu - WhatsApp, Telegram, Discord - varēja pārņemt visu OpenClaw instanci dažu milisekunžu laikā.
Ievainojamība izmantoja gatewayURL vaicājuma parametru, lai izvilktu autentifikācijas žetonus. Kad uzbrucējam bija žetons, viņš varēja izpildīt patvaļīgas komandas upura mašīnā. Pilna sistēmas piekļuve ar vienu klikšķi.
Labojums tika izlaists versijā v2026.1.29 29. janvārī, bet CVE netika publiski atklāta līdz 3. februārim. Pētnieki lēš, ka tūkstošiem instanču palika neizlabotas vairākas nedēļas.
Pārējās Sešas CVE
| Ievainojamība | Tips | Smagums | Ietekme |
|---|---|---|---|
| SSRF (Server-Side Request Forgery) | Tīkls | Augsts | Uzbrucēji piekļūst iekšējiem pakalpojumiem caur OpenClaw |
| Trūkstošā autentifikācija | Piekļuves kontrole | Kritiskais | Nav nepieciešamas akreditācijas dati, lai kontrolētu atklātās instances |
| Ceļa pārtveršana | Failu sistēma | Augsts | Lasīt vai rakstīt patvaļīgus failus resursdatorā |
| Komandu injekcija | Izpilde | Augsts | Izpildīt sistēmas komandas, izmantojot izveidotus ievades datus |
| Žetonu izvilkšana (vārteja) | Autentifikācija | Kritiskais | Nozagt sesijas žetonus, izmantojot ļaunprātīgas URL |
| Nedroša noklusējuma konfigurācija | Konfigurācija | Vidējs | Piesaistās pie 0.0.0.0:18789 - klausās visos tīkla interfeisos |
Noklusējuma konfigurācijas problēmai ir pelnīta īpaša uzmanība. Kad tas tiek izlaists no kastes, OpenClaw klausās visos tīkla interfeisos portā 18789 bez nepieciešamības pēc autentifikācijas. Tas nozīmē, ka jebkura jauna instalēta instance ir nekavējoties pieejama ikvienam tajā pašā tīklā - vai visam internetam, ja ports ir atklāts.
135 000 Atklātu Instanču - Problēmas Mērogs
SecurityScorecard STRIKE komanda veica interneta plašu skenēšanu un atklāja, ka skaitļi ir satriecoši.
Galvenie atklājumi:
- 135 000+ OpenClaw instances atklātas publiskajam internetam
- 93,4% atklāto instanču parādīja autentifikācijas apiešanas nosacījumus
- 5 194 instances aktīvi pārbaudītas kā ievainojamas pret zināmām CVE
- 53 000+ instances saistītas ar IP adresēm, kas saistītas ar zināmiem draudu aktieriem
Skaitļi pieauga ātri. Iepriekšējā neatkarīgā pētījumā 9. februārī tika atrastas 42 665 atklātas instances. Sešas dienas vēlāk skaits bija vairāk nekā trīskāršojies.
Ko nozīmē "atklāts"? Tas nozīmē, ka OpenClaw instance ir sasniedzama no interneta bez autentifikācijas. Ikviens, kas to atrod, var nosūtīt komandas, lasīt datus, piekļūt savienotajiem ziņojumapmaiņas kontiem un izpildīt kodu resursdatorā.
Lietotājiem, kuri izmanto OpenClaw ar likumīgiem API akreditācijas datiem no AI Perks - nekavējoties pārbaudiet, vai jūsu instance ir publiski pieejama. Ja tā ir, izslēdziet to, mainiet savas API atslēgas un pirms atkārtotas savienošanas iespējojiet autentifikāciju.
800+ Ļaunprātīgas Prasmes - ClawHub Piegādes Ķēdes Uzbrukums
ClawHub ir OpenClaw oficiālais prasmju tirgus - līdzvērtīgs npm priekš Node.js vai pip priekš Python. Krīzes sākumā tajā bija aptuveni 3000+ prasmju.
Pētnieki atklāja, ka 20% no tām bija ļaunprātīgas.
Sākotnējā skenēšanā 5. februārī tika atklātas 341 ļaunprātīga prasme visā reģistrā. Pēc tam 15. februārī veiktā skenēšana atklāja, ka skaits pieaudzis līdz 800+ - tas nozīmē, ka aptuveni viena no piecām ClawHub prasmēm bija paredzēta lietotāju datu zādzībai.
Ko dara Ļaunprātīgās Prasmes
Galvenā ielādējamā programma bija Atomic macOS Stealer (AMOS) - labi pazīstama akreditācijas datu zādzības ļaunprogrammatūra, kas mērķē uz:
- Pārlūkprogrammas paroles un sīkdatnes (Chrome, Firefox, Safari, Brave)
- Kriptovalūtu maki (MetaMask, Phantom, Coinbase Wallet)
- Keychain paroles operētājsistēmā macOS
- Sistēmas akreditācijas dati un SSH atslēgas
Lietotāji, kuri šajā periodā instalēja jebkuru neapstiprinātu ClawHub prasmi, var pieņemt, ka viņu akreditācijas dati ir apdraudēti.
Cline CLI Piegādes Ķēdes Uzbrukums (17. februāris)
- februārī drošības pētnieki atklāja, ka Cline CLI versija 2.3.0 - populārs komandrindas rīks - tika apdraudēta, lai slepeni instalētu OpenClaw lietotāju datoros. Ļaunprātīgā versija bija pieejama aptuveni 8 stundas, pirms tika atklāta un izņemta.
Šajā laikā tika veikti aptuveni 4 000 lejupielāžu. Lietotāji, kuri šajā periodā instalēja Cline CLI, varētu būt palaiduši OpenClaw instanci, nezinot.
Google un Meta Aizliedz OpenClaw - Nozares Atbilde
Drošības krīze izraisīja korporatīvu reakciju no lielākajiem tehnoloģiju nosaukumiem.
Google sāka masveidīgi ierobežot maksājošos Gemini AI Pro un Ultra abonentus (plāni par 249 USD mēnesī), kuri izmantoja OpenClaw, lai piekļūtu modeļiem. Lietotāji ziņoja par aizliegumu bez brīdinājuma, zaudējot piekļuvi pakalpojumiem, par kuriem viņi maksāja. Google pozīcija: trešo pušu rīku izmantošana AI modeļu piekļuvei pārkāpj lietošanas noteikumus.
Meta izdeva iekšēju direktīvu, kas aizliedz OpenClaw visās darba ierīcēs. Darbiniekiem tika brīdināts, ka OpenClaw izmantošana var izraisīt darba attiecību pārtraukšanu. Saskaņā ar Korea Times ziņojumiem daudzas citas tehnoloģiju firmas sekoja piemēram.
CrowdStrike publicēja detalizētu brīdinājumu, nosaucot OpenClaw par "jaunas drošības risku klases - autonomu aģentu ar plašu sistēmas piekļuvi, ko vairums lietotāju izvieto bez pamata drošības higiēnas."
Cisco savā emuāra ierakstā no savas drošības komandas aprakstīja personīgos AI aģentus, piemēram, OpenClaw, kā "drošības murgu".
Nature publicēja rakstu ar nosaukumu "OpenClaw AI tērzēšanas roboti trako - šie zinātnieki klausās", dokumentējot pieaugošās akadēmiskās sabiedrības bažas.
Ziņojums no nozares bija skaidrs: OpenClaw ir spēcīgs, taču noklusējuma drošības pozīcija ir nepieņemama profesionālai lietošanai.
Kā Pasargāt Sevi, Ja Izmantojat OpenClaw
Krīze ir nopietna, taču OpenClaw joprojām ir lietojams ar pienācīgiem piesardzības pasākumiem. Šeit ir svarīgākie soļi, sākot ar vissvarīgāko.
1. solis: Iegūstiet Likumīgus API Kredītus
Nekad nelietojiet nopludinātas, kopīgotas vai "bezmaksas" API atslēgas no interneta. Moltbook pārtraukums atklāja 1,5 miljonus API žetonu. Nozagtās atslēgas tiek izplatītas tumšā tīkla forumos un Telegram kanālos.
Iegūstiet savus likumīgos kredītus, izmantojot AI Perks:
| Kredītu programma | Pieejamie kredīti | Kā iegūt |
|---|---|---|
| Anthropic Claude (Tiešais) | 1 000 - 25 000 USD | AI Perks Ceļvedis |
| OpenAI (GPT-4) | 500 - 50 000 USD | AI Perks Ceļvedis |
| AWS Activate (Bedrock) | 1 000 - 100 000 USD | AI Perks Ceļvedis |
| Microsoft Founders Hub | 500 - 1 000 USD | AI Perks Ceļvedis |
Kopējais potenciāls: 3 000 - 176 000 USD likumīgu kredītu
Ar savām atslēgām no AI Perks jūs kontrolējat, kas tiek atklāts. Ja notiek pārtraukums, jūs varat nekavējoties mainīt savas atslēgas, nepaļaujoties uz apdraudētu infrastruktūru.
2. solis: Nekavējoties Atjauniniet uz v2026.2.22
Jaunākais izlaidums ietver vairāk nekā 40 drošības uzlabojumu labojumus, vārtejas autentifikāciju un ierīču pārvaldību. Pārbaudiet savu versiju un atjauniniet:
openclaw --version
openclaw update
Jebkura versija pirms 2026.1.29 ir neaizsargāta pret vienas klikšķa RCE. Jebkura versija pirms 2026.2.22 trūkst kritisku drošības uzlabojumu.
3. solis: Iespējojiet Autentifikāciju
OpenClaw pēc noklusējuma ir autentifikācija atspējota. Tas ir galvenais iemesls, kāpēc 93,4% atklāto instanču bija apiešana.
Iespējojiet to savā konfigurācijā:
security:
authentication: true
gateway_auth: true
4. solis: Pārbaudiet Instalētās Prasmes
Noņemiet jebkuru ClawHub prasmi, kuru jūs personīgi neesat pārbaudījis. Tā kā 20% reģistra ir apdraudēti, drošākais risinājums ir atinstalēt visu un tikai atkārtoti instalēt prasmes, kuras esat pārskatījis:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
5. solis: Sekojiet Pilnam Stingrības Ceļvedim
Lai iegūtu pilnu 10 soļu drošības kontrolsarakstu, kas aptver tīkla ierobežojumus, smilškastes konfigurāciju, reģistrēšanu un tērēšanas ierobežojumus - izlasiet mūsu OpenClaw Drošības Ceļvedi.
Apsveramas Drošākas Alternatīvas
Ja drošības krīze liek jums pārdomāt OpenClaw, pastāv pārvaldītas alternatīvas, kas rūpējas par drošību jūsu vietā. Kompromiss: mazāka pielāgošana, bet nav jāuztraucas par CVE.
| Funkcija | OpenClaw (Pašhostēts) | Claude Code | Manus AI | ChatGPT Aģents |
|---|---|---|---|---|
| Drošības modelis | Jūs pārvaldāt visu | Anthropic pārvaldīts | Meta pārvaldīts | OpenAI pārvaldīts |
| CVE vēsture | 7 CVE 2026. gada februārī | Nav publisku | Nav publisku | Nav publisku |
| Datu atrašanās vieta | Jūsu ierīce | Mākonis | Mākoņa smilškaste | Mākonis |
| Pielāgošana | Pilna kontrole | Kodu fokusēta | Uzdevumu fokusēta | Vispārīgas |
| Izmaksas | Tikai API kredīti | 20-200 USD/mēnesī | 39-199 USD/mēnesī | 20-200 USD/mēnesī |
Katrai alternatīvai joprojām nepieciešami AI API kredīti, lai darbotos pilnā apjomā. AI Perks sedz kredītu programmas Anthropic, OpenAI, AWS, Google Cloud un citām - tāpēc jūs esat nodrošināti neatkarīgi no izvēlētā rīka.
Lai iegūtu detalizētu katras alternatīvas sadalījumu, skatiet mūsu Labāko OpenClaw Alternatīvu ceļvedi.
Biežāk Uzdotie Jautājumi
Vai OpenClaw tika uzlauzts 2026. gada februārī?
OpenClaw pats par sevi netika uzlauzts tradicionālā nozīmē. Tika atklātas septiņas kritiskas ievainojamības un tās tika publiskotas, vairāk nekā 135 000 instanču tika atrastas atklātas internetam bez autentifikācijas, un ClawHub tika atrastas vairāk nekā 800 ļaunprātīgas prasmes, kas piegādāja akreditācijas datu zādzības ļaunprogrammatūru. Moltbook pārtraukums arī atklāja 1,5 miljonus API žetonu.
Vai OpenClaw ir drošs lietošanai pašlaik?
Jā, ar pareizu konfigurāciju. Atjauniniet uz v2026.2.22, iespējojiet autentifikāciju, pārbaudiet savas prasmes un izmantojiet likumīgus API akreditācijas datus no AI Perks. Neizlabota noklusējuma instalācija nav droša - taču pareizi konfigurēta instance ar jaunākajiem ielāpiem novērš visas zināmās ievainojamības.
Kāpēc Google aizliedza OpenClaw lietotājus?
Google ierobežoja maksājošos Gemini AI abonentus, kuri izmantoja OpenClaw, lai piekļūtu Google AI modeļiem, izmantojot trešo pušu rīkus. Tas pārkāpj Google lietošanas noteikumus. Lietotāji ziņoja par piekļuves zaudēšanu 249 USD mēnesī plāniem bez brīdinājuma. Tā vietā izmantojiet tiešos API kredītus no AI Perks, nevis patērētāju abonementus.
Kas ir Cline CLI piegādes ķēdes uzbrukums?
- gada 17. februārī Cline CLI versija 2.3.0 tika apdraudēta, lai slepeni instalētu OpenClaw lietotāju datoros. Ļaunprātīgā versija bija pieejama aptuveni 8 stundas, pirms tika izņemta. Tika veikti aptuveni 4 000 lejupielāžu. Ja instalējāt Cline CLI šajā laikā, pārbaudiet, vai nav neatļautas OpenClaw instalācijas.
Cik daudz ļaunprātīgu OpenClaw prasmju pastāv ClawHub?
- gada vidū februārī pētnieki ClawHub atrada vairāk nekā 800 ļaunprātīgu prasmju - aptuveni 20% no visa reģistra. Galvenā ielādējamā programma ir Atomic macOS Stealer (AMOS), kas mērķē uz pārlūka paroles, kriptovalūtu makus un sistēmas akreditācijas datus. Instalējiet tikai prasmes, kuras pats esat pārskatījis.
Ko man darīt, ja mana OpenClaw instance bija atklāta?
Nekavējoties: izslēdziet instanci, mainiet visas API atslēgas, mainiet paroles visiem savienotajiem kontiem (e-pasts, ziņojumapmaiņas platformas, kriptovalūtu maki) un skenējiet pēc ļaunprogrammatūras. Pēc tam atjauniniet uz v2026.2.22, iespējojiet autentifikāciju un iegūstiet svaigus likumīgus API kredītus no AI Perks pirms atkārtotas savienošanas.
Vai OpenClaw joprojām ir vērts izmantot pēc drošības krīzes?
OpenClaw joprojām ir spēcīgākais pieejamais atvērtā pirmkoda AI aģents. Drošības problēmas radās no nedrošiem noklusējumiem un strauji augošās prasmju ekosistēmas - nevis fundamentālām dizaina kļūdām. Ar pienācīgu stingrību, likumīgiem akreditācijas datiem un rūpīgu prasmju pārvaldību tas joprojām ir pārliecinošs rīks. Galvenā mācība: nekad neizmantojiet to ar noklusējuma iestatījumiem.
Drošības Krīze Ir Modinātājs AI Aģentiem
OpenClaw krīze atklāja patiesību: atvērtā pirmkoda AI aģentiem ar sistēmas līmeņa piekļuvi nepieciešama nopietna drošības higiēna. Noklusējuma "instalēt un palaist" pieredze, kas padarīja OpenClaw vīrusu, ir tas pats, kas atstāja vairāk nekā 135 000 instanču atklātas.
OpenClaw fonds (tagad atbalsta OpenAI pēc Petra Steinbergera pārcelšanās) aktīvi labo šīs problēmas. Versija 2026.2.22 ietver vairāk nekā 40 drošības uzlabojumu ielāpus. Kopiena ir spēcīgāka, pateicoties tam, ka ir izdzīvojusi.
Bet atbildība joprojām gulstas uz jums. Atjauniniet savu instalāciju, iespējojiet autentifikāciju, pārbaudiet savas prasmes un sāciet ar likumīgiem API akreditācijas datiem no AI Perks. Neatkarīgi no tā, vai paliekat pie OpenClaw vai pāriet uz pārvaldītu alternatīvu - jums ir nepieciešami reāli kredīti, nevis nozagtas atslēgas.
Abonējiet vietnē getaiperks.com →
Neļaujiet drošības krīzei maksāt vairāk, nekā nepieciešams. Iegūstiet likumīgus AI kredītus un droši palaidiet savus rīkus vietnē getaiperks.com.
