AI Perks zagotavlja dostop do ekskluzivnih popustov, kreditov in ponudb za AI orodja, storitve v oblaku in API-je, da bi pomagal startupom in razvijalcem prihraniti denar.
Varnostna kriza OpenClaw - Največji škandal z AI roboti leta 2026
OpenClaw - odprtokodni AI robot z več kot 180.000 zvezdicami na GitHubu - je prizadel najhujšo varnostno krizo v zgodovini orodij AI. Februarja 2026 so raziskovalci odkrili 7 kritičnih ranljivosti, več kot 135.000 izpostavljenih primerov in več kot 800 zlonamernih veščin, ki so prek uradne tržnice ClawHub dostavljale zlonamerno programsko opremo.
Google je začel prepovedovati plačljive naročnike AI, ki uporabljajo OpenClaw. Meta ga je prepovedala na vseh delovnih napravah. CrowdStrike, Cisco in Nature so objavili nujna obvestila.
Če uporabljate OpenClaw, je prva stvar, ki jo morate storiti, zavarovati legitimne API poverilnice prek AI Perks - ukradeni in odtujeni ključi iz ogroženih primerov že krožijo po spletu.
Prihrani svoj proračun za AI orodja
| Software | Pribl Krediti | Indeks Odobritve | Dejanja | |
|---|---|---|---|---|
Časovnica krize - Kako se je vse razpletlo
Kriza se ni zgodila čez noč. Ekalirala se je v obdobju treh tednov, ko so varnostni raziskovalci plast za plastjo odkrivali ranljivosti.
| Datum | Dogodek |
|---|---|
| 29. januar | CVE-2026-25253 tiho popravljen v OpenClaw v2026.1.29 |
| 3. februar | CVE-2026-25253 javno razkrit - CVSS 8.8 (RCE z enim klikom) |
| 4. februar | Razkrit dodaten CVE za injiciranje ukazov |
| 5. februar | Raziskovalci odkrijejo 341 zlonamernih veščin na ClawHub (~12% registra) |
| 6. februar | Vdor v Moltbook razkrije 1,5 milijona API žetonov |
| 7.-8. februar | Google začne omejevati naročnike AI, ki uporabljajo OpenClaw |
| 9. februar | SecurityScorecard poroča o več kot 40.000 izpostavljenih primerih OpenClaw |
| 15. februar | Število izpostavljenih primerov naraste na več kot 135.000; število zlonamernih veščin na več kot 800 |
| 17. februar | Cline CLI 2.3.0 napad na dobavno verigo prikrito namesti OpenClaw |
| 20. februar | Meta prepove OpenClaw na delovnih napravah; The Register objavi celotno poročilo o Cline |
Tri tedne. Tako hitro je OpenClaw prešel iz najbolj vznemirljivega odprtokodnega projekta v zgodovini v največjo varnostno opozorilo v svetu AI.
AI Perks zagotavlja dostop do ekskluzivnih popustov, kreditov in ponudb za AI orodja, storitve v oblaku in API-je, da bi pomagal startupom in razvijalcem prihraniti denar.
7 ranljivosti, ki so pretresle OpenClaw
Sedem CVE-jev je bilo razkritih v razmaku nekaj tednov. Za tri obstaja javno dostopna koda za izkoriščanje, kar pomeni, da jo lahko kdorkoli uporabi proti nepravilnim primerom.
CVE-2026-25253 - Oddaljeno izvrševanje kode z enim klikom (CVSS 8.8)
To je bil glavni problem. Zlonamerna povezava, poslana prek katerega koli sporočilnega omrežja - WhatsApp, Telegram, Discord - bi lahko v nekaj milisekundah prevzela celoten primer OpenClaw.
Ranljivost je izkoriščala nabor parametrov gatewayURL za pridobivanje avtentikacijskih žetonov. Ko je napadalec pridobil žeton, je lahko izvršil poljubne ukaze na žrtvinem stroju. Popoln dostop do sistema z enim klikom.
Popravek je bil objavljen v v2026.1.29 29. januarja, vendar CVE ni bil javno razkrit do 3. februarja. Raziskovalci ocenjujejo, da je tisoče primerov ostalo nepravilnih več tednov.
Ostalih šest CVE-jev
| Ranljivost | Vrsta | Resnost | Vpliv |
|---|---|---|---|
| SSRF (Server-Side Request Forgery) | Omrežje | Visoka | Napadalci dostopajo do internih storitev prek OpenClaw |
| Manjkajoča avtentikacija | Nadzor dostopa | Kritična | Za nadzor izpostavljenih primerov niso potrebne poverilnice |
| Prehod v poti | Datotečni sistem | Visoka | Branje ali pisanje poljubnih datotek na gostiteljskem stroju |
| Injekcija ukazov | Izvrševanje | Visoka | Izvrševanje sistemskih ukazov prek oblikovanih vnosov |
| Odtekanje žetonov (Gateway) | Avtentikacija | Kritična | Kraja sejnih žetonov prek zlonamernih URL-jev |
| Nevarna privzeta konfiguracija | Konfiguracija | Srednja | Vezan na 0.0.0.0:18789 - posluša na vseh omrežnih vmesnikih |
Vprašanje privzete konfiguracije si zasluži posebno pozornost. Takoj ob namestitvi OpenClaw posluša na vseh omrežnih vmesnikih na vratih 18789 brez zahtevane avtentikacije. To pomeni, da je vsak nov nameščen primer takoj dostopen komurkoli v istem omrežju - ali celotnemu internetu, če so vrata izpostavljena.
135.000 izpostavljenih primerov - Obseg problema
Ekipa STRIKE pri SecurityScorecard je izvedla skeniranje celotnega interneta in ugotovila, da so številke osupljive.
Ključne ugotovitve:
- Več kot 135.000 primerov OpenClaw je bilo izpostavljenih javnemu internetu
- 93,4% izpostavljenih primerov je imelo pogoje za obhod avtentikacije
- 5.194 primerov je bilo aktivno potrjenih kot ranljivih za znane CVE-je
- Več kot 53.000 primerov je bilo povezanih z IP naslovi, povezanimi z znanimi grožnjami
Število je hitro raslo. Prejšnja neodvisna študija 9. februarja je pokazala 42.665 izpostavljenih primerov. Šest dni kasneje se je število več kot potrojilo.
Kaj pomeni "izpostavljeno"? To pomeni, da je primer OpenClaw dosegljiv iz interneta brez avtentikacije. Kdorkoli ga najde, lahko pošilja ukaze, bere podatke, dostopa do povezanih računov za sporočanje in izvršuje kodo na gostiteljskem stroju.
Za uporabnike, ki uporabljajo OpenClaw z legitimnimi API poverilnicami iz AI Perks - takoj preverite, ali je vaš primer javno dostopen. Če je, ga ugasnite, zamenjajte API ključe in omogočite avtentikacijo, preden ponovno vzpostavite povezavo.
Več kot 800 zlonamernih veščin - Napad na dobavno verigo ClawHub
ClawHub je uradna tržnica veščin OpenClaw - enakovredno npm za Node.js ali pip za Python. Ob začetku krize je imela približno 3.000+ veščin.
Raziskovalci so ugotovili, da jih je bilo 20% zlonamernih.
Začetno skeniranje 5. februarja je odkrilo 341 zlonamernih veščin v registru. Naknadno skeniranje 15. februarja je pokazalo, da se je število povečalo na več kot 800 - kar pomeni, da je približno ena od petih veščin ClawHub zasnovana za krajo uporabniških podatkov.
Kaj počnejo zlonamerne veščine
Primarni tovor je bil Atomic macOS Stealer (AMOS) - dobro znana zlonamerna programska oprema za krajo poverilnic, ki cilja na:
- Gesla in piškotke brskalnikov (Chrome, Firefox, Safari, Brave)
- Denarnice za kriptovalute (MetaMask, Phantom, Coinbase Wallet)
- Gesla v Keychain-u na macOS
- Sistemske poverilnice in SSH ključe
Uporabniki, ki so med tem obdobjem namestili kakršno koli nepreverjeno veščino ClawHub, naj predpostavijo, da so njihove poverilnice ogrožene.
Napad na dobavno verigo Cline CLI (17. februar)
- februarja so varnostni raziskovalci odkrili, da je bila Cline CLI različica 2.3.0 - priljubljeno orodje ukazne vrstice - ogrožena, da bi tiho namestila OpenClaw na uporabniške stroje. Zlonamerna različica je bila aktivna približno 8 ur, preden so jo odkrili in umaknili.
V tem času je bilo opravljenih ocenjenih 4.000 prenosov. Uporabniki, ki so namestili Cline CLI v tem obdobju, imajo morda nameščen primer OpenClaw brez njihovega vedenja.
Google in Meta prepovedujeta OpenClaw - odziv industrije
Varnostna kriza je sprožila protiudarec s strani največjih imen v tehnologiji.
Google je začel masovno omejevati plačljive naročnike Gemini AI Pro in Ultra (načrti za 249 $/mesec), ki so uporabljali OpenClaw za dostop do modelov. Uporabniki so poročali o prepovedi brez opozorila, izgubi dostopa do storitev, za katere so plačevali. Googlov položaj: uporaba orodij tretjih oseb za dostop do AI modelov krši pogoje uporabe.
Meta je izdala notranjo direktivo, ki prepoveduje OpenClaw na vseh delovnih napravah. Zaposlenim je bilo sporočeno, da lahko uporaba OpenClaw povzroči odpoved. Več drugih tehnoloških podjetij je sledilo temu, glede na poročila iz Korea Times.
CrowdStrike je objavil podrobno obvestilo, ki OpenClaw imenuje "nov razred varnostnega tveganja - avtonomni robot s širokim dostopom do sistema, ki ga večina uporabnikov namesti brez osnovne varnostne higiene."
Cisco je osebne AI robote, kot je OpenClaw, opisal kot "varnostno nočno moro" v objavi na blogu svoje varnostne ekipe.
Nature je objavil članek z naslovom "AI boti OpenClaw divjajo - ti znanstveniki poslušajo," ki dokumentira vse večjo zaskrbljenost akademske skupnosti.
Sporočilo industrije je bilo jasno: OpenClaw je močan, vendar privzeta varnostna drža ni sprejemljiva za profesionalno uporabo.
Kako se zaščititi, če uporabljate OpenClaw
Kriza je resna, vendar je OpenClaw še vedno uporaben z ustreznimi previdnostnimi ukrepi. Tu so bistveni koraki, začenši z najpomembnejšimi.
1. korak: Zagotovite si legitimne API kredite
Nikoli ne uporabljajte ukradenih, deljenih ali "brezplačnih" API ključev iz interneta. Vdor v Moltbook je razkril 1,5 milijona API žetonov. Ukradeni ključi krožijo po forumih dark weba in Telegram kanalih.
Zagotovite si lastne legitimne kredite prek AI Perks:
| Program kreditov | Razpoložljivi krediti | Kako dobiti |
|---|---|---|
| Anthropic Claude (Neposredno) | 1.000 - 25.000 $ | Vodnik AI Perks |
| OpenAI (GPT-4) | 500 - 50.000 $ | Vodnik AI Perks |
| AWS Activate (Bedrock) | 1.000 - 100.000 $ | Vodnik AI Perks |
| Microsoft Founders Hub | 500 - 1.000 $ | Vodnik AI Perks |
Skupni potencial: 3.000 - 176.000 $ v legitimnih kreditih
Z lastnimi ključi iz AI Perks nadzorujete, kaj je izpostavljeno. Če pride do vdora, lahko takoj zamenjate ključe, ne da bi bili odvisni od ogrožene infrastrukture.
2. korak: Takojšnje posodabljanje na v2026.2.22
Najnovejša izdaja vključuje več kot 40 popravkov za utrditev varnosti, avtentikacijo na vratih in upravljanje naprav. Preverite svojo različico in posodobite:
openclaw --version
openclaw update
Kakršnakoli različica pred 2026.1.29 je ranljiva za RCE z enim klikom. Kakršnakoli različica pred 2026.2.22 nima kritičnih popravkov za utrditev varnosti.
3. korak: Omogočite avtentikacijo
OpenClaw se privzeto namesti z onemogočeno avtentikacijo. To je najpomembnejši razlog, zakaj je imelo 93,4% izpostavljenih primerov obvode avtentikacije.
Omogočite jo v svoji konfiguraciji:
security:
authentication: true
gateway_auth: true
4. korak: Preglejte svoje nameščene veščine
Odstranite vse veščine ClawHub, ki jih niste osebno preverili. Z 20% ogroženega registra je najvarnejši pristop odstraniti vse in ponovno namestiti le veščine, ki ste jih pregledali:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
5. korak: Upoštevajte popoln vodnik za utrditev
Za popoln 10-stopenjski varnostni seznam, ki zajema omrežne omejitve, konfiguracijo peskovnika, dnevnike in omejitve porabe - preberite naš Vodnik za varnost OpenClaw.
Vredne omembe vredne varnejše alternative
Če vas varnostna kriza prepričuje, da ponovno razmislite o OpenClaw, obstajajo upravljane alternative, ki poskrbijo za varnost namesto vas. Kompromis: manj prilagodljivosti, vendar brez skrbi glede CVE-jev.
| Funkcija | OpenClaw (Samoupravljano) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Varnostni model | Vse upravljate vi | Upravljano s strani Anthropic | Upravljano s strani Meta | Upravljano s strani OpenAI |
| Zgodovina CVE | 7 CVE-jev februarja 2026 | Nobenih javnih | Nobenih javnih | Nobenih javnih |
| Lokacija podatkov | Vaša naprava | Oblak | Peskovnik v oblaku | Oblak |
| Prilagodljivost | Popoln nadzor | Osredotočeno na kodo | Osredotočeno na naloge | Splošni namen |
| Cena | Samo API krediti | 20-200 $/mesec | 39-199 $/mesec | 20-200 $/mesec |
Vsaka alternativa še vedno zahteva API kredite za delovanje s polno zmogljivostjo. AI Perks pokriva kreditne programe za Anthropic, OpenAI, AWS, Google Cloud in druge - tako da ste pokriti ne glede na to, katero orodje izberete.
Za podrobno analizo vsake alternative si oglejte naš vodnik Najboljše alternative OpenClaw.
Pogosta vprašanja
Je bil OpenClaw februarja 2026 vlomljen?
Sam OpenClaw ni bil vlomljen v tradicionalnem smislu. Odkritih in razkritih je bilo sedem kritičnih ranljivosti, več kot 135.000 primerov je bilo izpostavljenih internetu brez avtentikacije, na ClawHub pa je bilo najdenih več kot 800 zlonamernih veščin, ki so dostavljale zlonamerno programsko opremo za krajo poverilnic. Vdor v Moltbook je prav tako razkril 1,5 milijona API žetonov.
Je OpenClaw varen za uporabo zdaj?
Da, z ustrezno konfiguracijo. Posodobite na v2026.2.22, omogočite avtentikacijo, preglejte svoje veščine in uporabite legitimne API poverilnice iz AI Perks. Nepopravljena privzeta namestitev ni varna - vendar pravilno konfiguriran primer z najnovejšimi popravki odpravlja vse znane ranljivosti.
Zakaj je Google prepovedal uporabnike OpenClaw?
Google je omejil plačljive naročnike Gemini AI, ki so uporabljali OpenClaw za dostop do Googlovih AI modelov prek orodij tretjih oseb. To krši Googlove pogoje uporabe. Uporabniki so poročali o izgubi dostopa do načrtov za 249 $/mesec brez opozorila. Namesto potrošniških naročnin uporabite neposredne API kredite iz AI Perks.
Kaj je napad na dobavno verigo Cline CLI?
- februarja 2026 je bila Cline CLI različica 2.3.0 ogrožena, da bi tiho namestila OpenClaw na uporabniške stroje. Zlonamerna različica je bila aktivna približno 8 ur, preden so jo umaknili. Ocenjuje se, da je bilo opravljenih 4.000 prenosov. Če ste Cline CLI namestili v tem obdobju, preverite, ali obstajajo nepooblaščene namestitve OpenClaw.
Koliko zlonamernih veščin OpenClaw obstaja na ClawHub?
Sredi februarja 2026 so raziskovalci na ClawHub našli več kot 800 zlonamernih veščin - približno 20% celotnega registra. Glavni tovor je Atomic macOS Stealer (AMOS), ki cilja na gesla brskalnikov, denarnice za kriptovalute in sistemske poverilnice. Nameščajte samo veščine, ki ste jih osebno pregledali.
Kaj naj storim, če je bil moj primer OpenClaw izpostavljen?
Takoj: ugasnite primer, zamenjajte vse API ključe, spremenite gesla za vse povezane račune (e-pošta, sporočilne platforme, denarnice za kriptovalute) in skenirajte za zlonamerno programsko opremo. Nato posodobite na v2026.2.22, omogočite avtentikacijo in si zagotovite sveže legitimne API kredite iz AI Perks, preden ponovno vzpostavite povezavo.
Je OpenClaw še vreden uporabe po varnostni krizi?
OpenClaw ostaja najmočnejši odprtokodni AI robot na voljo. Varnostne težave izvirajo iz nevarne privzete nastavitve in hitro rastočega ekosistema veščin - ne iz temeljnih napak v zasnovi. Z ustrezno utrditvijo, legitimnimi poverilnicami in skrbnim upravljanjem veščin je še vedno privlačno orodje. Ključna lekcija: nikoli ga ne zaženite s privzetimi nastavitvami.
Varnostna kriza je opozorilo za AI robote
Kriza OpenClaw je razkrila kruto resnico: odprtokodni AI roboti s sistemom dostopa zahtevajo resno varnostno higieno. Privzeta izkušnja "namesti in zaženi", ki je naredila OpenClaw viralen, je ista stvar, ki je pustila več kot 135.000 primerov izpostavljenih.
Sklad OpenClaw (zdaj podprt s strani OpenAI po prehodu Petra Steinbergerja) aktivno odpravlja te težave. Različica 2026.2.22 vključuje več kot 40 popravkov za utrditev varnosti. Skupnost je močnejša, ker je šla skozi to.
Vendar odgovornost še vedno pade na vas. Posodobite svojo namestitev, omogočite avtentikacijo, preglejte svoje veščine in začnite z legitimnimi API poverilnicami iz AI Perks. Ne glede na to, ali boste ostali pri OpenClaw ali prešli na upravljano alternativo - potrebujete prave kredite, ne ukradenih ključev.
Naročite se na getaiperks.com →
Ne dovolite, da vas varnostna kriza stane več, kot je nujno potrebno. Zagotovite si legitimne AI kredite in varno zaženite svoja orodja na getaiperks.com.
