AI Perks poskytuje prístup k exkluzívnym zľavám, kreditom a ponukám na AI nástroje, cloudové služby a API, aby pomohol startupom a vývojárom ušetriť peniaze.
Bezpečnostná kríza OpenClaw - Najväčší škandál s AI agentom roka 2026
OpenClaw - open-source AI agent s viac ako 180 000 hviezdičkami na GitHub - bol zasiahnutý najhoršou bezpečnostnou krízou v histórii nástrojov AI. Vo februári 2026 výskumníci objavili 7 kritických zraniteľností, viac ako 135 000 vystavených inštancií a viac ako 800 škodlivých zručností doručujúcich malware prostredníctvom oficiálneho trhoviska ClawHub.
Google začal zakazovať platiacich AI predplatiteľov, ktorí používajú OpenClaw. Meta ho zakázala na všetkých pracovných zariadeniach. CrowdStrike, Cisco a Nature publikovali urgentné oznámenia.
Ak prevádzkujete OpenClaw, prvé, čo musíte urobiť, je zabezpečiť si legitímne API poverenia prostredníctvom AI Perks - uniknuté a ukradnuté kľúče z kompromitovaných inštancií už kolujú online.
Ušetri svoj rozpočet na AI nástroje
| Software | Pribl Kredity | Index Schvalenia | Akcie | |
|---|---|---|---|---|
Časová os krízy - Ako sa to všetko odohralo
Kríza sa nestala cez noc. Eskalovala počas trojtýždňového obdobia, keď bezpečnostní výskumníci odhaľovali vrstvu po vrstve zraniteľností.
| Dátum | Udalosť |
|---|---|
| 29. januára | CVE-2026-25253 potichu opravené v OpenClaw v2026.1.29 |
| 3. februára | CVE-2026-25253 verejne oznámené - CVSS 8.8 (RCE jedným kliknutím) |
| 4. februára | Zverejnená ďalšia CVE na vstrekovanie príkazov |
| 5. februára | Výskumníci objavili 341 škodlivých zručností na ClawHub (~12% registra) |
| 6. februára | Preniknutie do Moltbooku odhalilo 1,5 milióna API tokenov |
| 7. - 8. februára | Google začal obmedzovať AI predplatiteľov používajúcich OpenClaw |
| 9. februára | SecurityScorecard hlási viac ako 40 000 vystavených inštancií OpenClaw |
| 15. februára | Vystavené inštancie vzrástli na viac ako 135 000; škodlivé zručnosti na viac ako 800 |
| 17. februára | Cline CLI 2.3.0 útok na dodávateľský reťazec potichu nainštaloval OpenClaw |
| 20. februára | Meta zakázala OpenClaw na pracovných zariadeniach; The Register zverejnil úplný report Cline |
Tri týždne. Tak rýchlo sa OpenClaw z najvzrušujúcejšieho open-source projektu v histórii stal najväčším bezpečnostným varovným príbehom v oblasti AI.
AI Perks poskytuje prístup k exkluzívnym zľavám, kreditom a ponukám na AI nástroje, cloudové služby a API, aby pomohol startupom a vývojárom ušetriť peniaze.
7 zraniteľností, ktoré otriasli OpenClaw
Sedem CVE bolo zverejnených v priebehu niekoľkých týždňov. Tri majú k dispozícii verejný kód na zneužitie, čo znamená, že ktokoľvek ich môže použiť proti neopraveným inštanciám.
CVE-2026-25253 - Vzdialené vykonanie kódu jedným kliknutím (CVSS 8.8)
Toto bola veľká vec. Škoda odoslaná prostredníctvom akejkoľvek komunikačnej platformy - WhatsApp, Telegram, Discord - mohla počas milisekúnd ovládnuť celú inštanciu OpenClaw.
Zraniteľnosť zneužila parameter dopytu gatewayURL na exfiltráciu autentizačných tokenov. Akonáhle útočník získal token, mohol na cieľovom stroji vykonať ľubovoľné príkazy. Plný prístup k systému jedným kliknutím.
Oprava bola vydaná vo verzii v2026.1.29 29. januára, ale CVE nebola verejne zverejnená až 3. februára. Výskumníci odhadujú, že tisíce inštancií zostali neopravené celé týždne.
Ďalších šesť CVE
| Zraniteľnosť | Typ | Závažnosť | Vplyv |
|---|---|---|---|
| SSRF (Server-Side Request Forgery) | Sieť | Vysoká | Útočníci získavajú prístup k interným službám cez OpenClaw |
| Chýbajúca autentizácia | Riadenie prístupu | Kritická | Na ovládanie vystavených inštancií nie sú potrebné žiadne poverenia |
| Prekročenie cesty súborového systému | Súborový systém | Vysoká | Čítanie alebo zapisovanie ľubovoľných súborov na hosťovskom stroji |
| Vstrekovanie príkazov | Vykonanie | Vysoká | Vykonavanie systémových príkazov prostredníctvom vytvorených vstupov |
| Exfiltrácia tokenov (Gateway) | Autentizácia | Kritická | Krádež tokenov relácie prostredníctvom škodlivých URL |
| Nebezpečná predvolená konfigurácia | Konfigurácia | Stredná | Viaže sa na 0.0.0.0:18789 - počúva na všetkých sieťových rozhraniach |
Problém s predvolenou konfiguráciou si zaslúži osobitnú pozornosť. Po vybalení OpenClaw počúva na všetkých sieťových rozhraniach na porte 18789 bez nutnosti autentizácie. To znamená, že každá novo nainštalovaná inštancia je okamžite prístupná komukoľvek v rovnakej sieti - alebo na celom internete, ak je port vystavený.
135 000+ vystavených inštancií - Rozsah problému
Tím STRIKE spoločnosti SecurityScorecard vykonal celosieťové skenovanie a zistil, že čísla boli ohromujúce.
Kľúčové zistenia:
- Viac ako 135 000 inštancií OpenClaw vystavených verejnému internetu
- 93,4 % vystavených inštancií vykazovalo podmienky obchádzania autentizácie
- 5 194 inštancií aktívne overených ako zraniteľných voči známym CVE
- Viac ako 53 000 inštancií spojených s IP adresami pridruženými k známym hrozbám
Čísla rýchlo rástli. V skoršej nezávislej štúdii z 9. februára sa našlo 42 665 vystavených inštancií. O šesť dní neskôr sa počet viac ako strojnásobil.
Čo znamená "vystavené"? Znamená to, že inštancia OpenClaw je dostupná z internetu bez autentizácie. Ktokoľvek ju nájde, môže posielať príkazy, čítať dáta, pristupovať k pripojeným účtom správ a vykonávať kód na hostiteľskom stroji.
Pre používateľov, ktorí prevádzkujú OpenClaw s legitímnymi API povereniami od AI Perks - okamžite skontrolujte, či je vaša inštancia verejne dostupná. Ak áno, vypnite ju, vymeňte kľúče API a pred opätovným pripojením povoľte autentizáciu.
Viac ako 800 škodlivých zručností - Útok na dodávateľský reťazec ClawHub
ClawHub je oficiálne trhovisko zručností pre OpenClaw - ekvivalent npm pre Node.js alebo pip pre Python. Keď kríza začala, malo zhruba 3 000+ zručností.
Výskumníci zistili, že 20 % z nich bolo škodlivých.
Počiatočné skenovanie 5. februára odhalilo 341 škodlivých zručností v registri. Následné skenovanie 15. februára zistilo, že počet vzrástol na 800+ - čo znamená, že približne jedna z piatich zručností ClawHub bola navrhnutá na krádež používateľských údajov.
Čo robia škodlivé zručnosti
Hlavným nákladom bol Atomic macOS Stealer (AMOS) - dobre známy malware na krádež poverení, ktorý sa zameriava na:
- Heslá a cookies prehliadačov (Chrome, Firefox, Safari, Brave)
- Kryptomenové peňaženky (MetaMask, Phantom, Coinbase Wallet)
- Heslá kľúčenky na macOS
- Systémové poverenia a SSH kľúče
Používatelia, ktorí počas tohto obdobia nainštalovali akúkoľvek neoverenú zručnosť ClawHub, by mali predpokladať, že ich poverenia sú kompromitované.
Útok na dodávateľský reťazec Cline CLI (17. februára)
- februára bezpečnostní výskumníci zistili, že Cline CLI verzia 2.3.0 - populárny nástroj príkazového riadka - bol kompromitovaný, aby potichu nainštaloval OpenClaw na počítače používateľov. Škoda verzia bola aktívna približne 8 hodín, kým nebola objavená a stiahnutá.
Odhaduje sa, že počas tohto obdobia došlo k 4 000 stiahnutiam. Používatelia, ktorí si nainštalovali Cline CLI počas tohto obdobia, môžu mať bez ich vedomia spustenú inštanciu OpenClaw.
Google a Meta zakazujú OpenClaw - Reakcia odvetvia
Bezpečnostná kríza vyvolala odvetnú reakciu od najväčších technologických spoločností.
Google začal masovo obmedzovať platiacich predplatiteľov Gemini AI Pro a Ultra (plány za 249 USD/mesiac), ktorí používali OpenClaw na prístup k modelom. Používatelia hlásili, že boli zabanovaní bez varovania a stratili prístup k službám, za ktoré platili. Pozícia spoločnosti Google: používanie nástrojov tretích strán na prístup k modelom AI porušuje podmienky služby.
Meta vydala internú smernicu zakazujúcu OpenClaw na všetkých pracovných zariadeniach. Zamestnancom bolo varované, že používanie OpenClaw môže viesť k ukončeniu pracovného pomeru. Viacero ďalších technologických firiem nasledovalo, podľa správ z Korea Times.
CrowdStrike publikoval podrobnú radu, ktorá označila OpenClaw za „novú triedu bezpečnostného rizika - autonómneho agenta so širokým systémovým prístupom, ktorý väčšina používateľov nasadzuje bez základnej bezpečnostnej hygieny."
Cisco opísal osobné AI agentov, ako je OpenClaw, ako „bezpečnostnú nočnú moru" v blogovom príspevku od ich bezpečnostného tímu.
Nature publikoval článok s názvom „Chatboty AI OpenClaw sa vymykajú kontrole - títo vedci počúvajú," dokumentujúci rastúce obavy akademickej komunity.
Odkaz z odvetvia bol jasný: OpenClaw je výkonný, ale predvolené bezpečnostné nastavenie je neprijateľné pre profesionálne použitie.
Ako sa ochrániť, ak prevádzkujete OpenClaw
Kríza je vážna, ale OpenClaw je stále použiteľný s náležitými opatreniami. Tu sú základné kroky, počnúc tými najdôležitejšími.
Krok 1: Získajte legitímne API kredity
Nikdy nepoužívajte uniknuté, zdieľané alebo „bezplatné" API kľúče z internetu. Preniknutie do Moltbooku odhalilo 1,5 milióna API tokenov. Ukradnuté kľúče kolujú na fórach dark webu a kanáloch Telegram.
Získajte si vlastné legitímne kredity prostredníctvom AI Perks:
| Kreditový program | Dostupné kredity | Ako získať |
|---|---|---|
| Anthropic Claude (Priame) | 1 000 - 25 000 USD | Sprievodca AI Perks |
| OpenAI (GPT-4) | 500 - 50 000 USD | Sprievodca AI Perks |
| AWS Activate (Bedrock) | 1 000 - 100 000 USD | Sprievodca AI Perks |
| Microsoft Founders Hub | 500 - 1 000 USD | Sprievodca AI Perks |
Celkový potenciál: 3 000 - 176 000 USD v legitímnych kreditoch
S vlastnými kľúčmi od AI Perks kontrolujete, čo je vystavené. Ak dôjde k narušeniu bezpečnosti, môžete svoje kľúče okamžite vymeniť bez toho, aby ste sa spoliehali na kompromitovanú infraštruktúru.
Krok 2: Okamžite aktualizujte na v2026.2.22
Najnovšie vydanie obsahuje viac ako 40 opráv na posilnenie zabezpečenia, autentizáciu brány a správu zariadení. Skontrolujte svoju verziu a aktualizujte:
openclaw --version
openclaw update
Akákoľvek verzia pred 2026.1.29 je zraniteľná voči RCE jedným kliknutím. Akákoľvek verzia pred 2026.2.22 postráda kritické posilnenie zabezpečenia.
Krok 3: Povoľte autentizáciu
OpenClaw sa dodáva s autentizáciou predvolene zakázanou. Toto je jediný najväčší dôvod, prečo 93,4 % vystavených inštancií malo obchádzanie autentizácie.
Povoľte ju vo svojej konfigurácii:
security:
authentication: true
gateway_auth: true
Krok 4: Auditujte nainštalované zručnosti
Odstráňte akúkoľvek zručnosť ClawHub, ktorú ste osobne neoverili. S 20 % kompromitovaného registra je najbezpečnejším prístupom odinštalovať všetko a nanovo nainštalovať iba zručnosti, ktoré ste preskúmali:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
Krok 5: Postupujte podľa úplného sprievodcu posilnením zabezpečenia
Kompletný 10-krokový bezpečnostný kontrolný zoznam pokrývajúci sieťové obmedzenia, konfiguráciu sandboxu, logovanie a limity výdavkov - si prečítajte v našom Sprievodcovi zabezpečením OpenClaw.
Bezpečnejšie alternatívy, ktoré stoja za zváženie
Ak vás bezpečnostná kríza prinútila prehodnotiť OpenClaw, existujú spravované alternatívy, ktoré sa postarajú o zabezpečenie za vás. Kompromis: menej prispôsobenia, ale žiadne CVE, ktorých by ste sa museli obávať.
| Funkcia | OpenClaw (Vlastné hostovanie) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Bezpečnostný model | Spravujete všetko | Spravované Anthropic | Spravované Meta | Spravované OpenAI |
| História CVE | 7 CVE vo februári 2026 | Žiadne verejné | Žiadne verejné | Žiadne verejné |
| Umiestnenie údajov | Váš prístroj | Cloud | Sandbox v cloude | Cloud |
| Prispôsobenie | Plná kontrola | Zamerané na kód | Zamerané na úlohy | Všeobecné použitie |
| Náklady | Iba API kredity | 20 - 200 USD/mesiac | 39 - 199 USD/mesiac | 20 - 200 USD/mesiac |
Každá alternatíva stále vyžaduje API kredity AI na plnú prevádzku. AI Perks pokrýva kreditné programy pre Anthropic, OpenAI, AWS, Google Cloud a ďalšie - takže ste krytí bez ohľadu na to, ktorý nástroj si vyberiete.
Podrobný rozpis každej alternatívy nájdete v našom sprievodcovi Najlepšie alternatívy k OpenClaw.
Často kladené otázky
Bol OpenClaw v júni 2026 hacknutý?
OpenClaw sám o sebe nebol v tradičnom zmysle hacknutý. Bolo objavených a zverejnených sedem kritických zraniteľností, viac ako 135 000 inštancií bolo nájdených vystavených internetu bez autentizácie a na ClawHub bolo nájdených viac ako 800 škodlivých zručností doručujúcich malware na krádež poverení. Preniknutie do Moltbooku tiež odhalilo 1,5 milióna API tokenov.
Je bezpečné používať OpenClaw práve teraz?
Áno, s náležitou konfiguráciou. Aktualizujte na v2026.2.22, povoľte autentizáciu, auditujte svoje zručnosti a používajte legitímne API poverenia od AI Perks. Nehardened inštalácia podľa predvolených nastavení nie je bezpečná - ale správne nakonfigurovaná inštalácia s najnovšími záplatami rieši všetky známe zraniteľnosti.
Prečo Google zakázal používateľov OpenClaw?
Google obmedzil platiacich predplatiteľov Gemini AI, ktorí používali OpenClaw na prístup k modelom AI spoločnosti Google prostredníctvom nástrojov tretích strán. Toto porušuje podmienky služby spoločnosti Google. Používatelia hlásili stratu prístupu k plánom za 249 USD/mesiac bez varovania. Namiesto spotrebiteľských predplatných používajte priame API kredity od AI Perks.
Čo je útok na dodávateľský reťazec Cline CLI?
- februára 2026 bola verzia 2.3.0 Cline CLI kompromitovaná, aby potichu nainštalovala OpenClaw na počítače používateľov. Škoda verzia bola aktívna približne 8 hodín, kým nebola stiahnutá. Odhaduje sa, že došlo k 4 000 stiahnutiam. Ak ste si nainštalovali Cline CLI počas tohto obdobia, skontrolujte neoprávnené inštalácie OpenClaw.
Koľko škodlivých zručností OpenClaw existuje na ClawHub?
Od polovice februára 2026 výskumníci zistili na ClawHub viac ako 800 škodlivých zručností - približne 20 % celého registra. Hlavným nákladom je Atomic macOS Stealer (AMOS), ktorý sa zameriava na heslá prehliadačov, kryptomenové peňaženky a systémové poverenia. Nainštalujte iba zručnosti, ktoré ste osobne preskúmali.
Čo mám robiť, ak bola moja inštancia OpenClaw vystavená?
Okamžite: vypnite inštanciu, vymeňte všetky API kľúče, zmeňte heslá ku všetkým pripojeným účtom (e-mail, komunikačné platformy, kryptomenové peňaženky) a skontrolujte, či neobsahuje malware. Potom aktualizujte na v2026.2.22, povoľte autentizáciu a získajte čerstvé legitímne API kredity od AI Perks pred opätovným pripojením.
Stojí OpenClaw po bezpečnostnej kríze stále za používanie?
OpenClaw zostáva najvýkonnejším open-source AI agentom, aký je k dispozícii. Bezpečnostné problémy vyplývajú z nebezpečných predvolených nastavení a rýchlo rastúceho ekosystému zručností - nie z fundamentálnych dizajnových chýb. S náležitým posilnením zabezpečenia, legitímnymi povereniami a starostlivým riadením zručností je to stále presvedčivý nástroj. Kľúčové poučenie: nikdy ho nespúšťajte s predvolenými nastaveniami.
Bezpečnostná kríza je budíček pre AI agentov
Kríza OpenClaw odhalila tvrdú pravdu: open-source AI agenti so systémovým prístupom vyžadujú serióznu bezpečnostnú hygienu. Predvolená skúsenosť „nainštalovať a používať", vďaka ktorej sa OpenClaw stal virálnym, je to isté, čo spôsobilo vystavenie viac ako 135 000 inštancií.
Nadácia OpenClaw (teraz podporovaná OpenAI po presune Petra Steinbergera) aktívne rieši tieto problémy. Verzia 2026.2.22 obsahuje viac ako 40 opráv na posilnenie zabezpečenia. Komunita je silnejšia, pretože si tým prešla.
Ale zodpovednosť stále padá na vás. Aktualizujte svoju inštaláciu, povoľte autentizáciu, auditujte svoje zručnosti a začnite s legitímnymi API povereniami od AI Perks. Či už zostanete pri OpenClaw alebo prejdete na spravovanú alternatívu - potrebujete skutočné kredity, nie ukradnuté kľúče.
Prihláste sa na odber na getaiperks.com →
Nenechajte bezpečnostnú krízu stáť viac, ako musí. Získajte legitímne AI kredity a bezpečne prevádzkujte svoje nástroje na getaiperks.com.
