AI Perks ofron qasje në zbritje ekskluzive, kredite dhe oferta për mjete AI, shërbime cloud dhe API për të ndihmuar startup-et dhe zhvilluesit të kursejnë para.
Kriza e Sigurisë së OpenClaw - Skandali më i Madh i Agjentit AI të vitit 2026
OpenClaw - agjenti AI me burim të hapur me mbi 180,000 yje në GitHub - është goditur nga kriza më e rëndë e sigurisë në historinë e mjeteve AI. Në shkurt 2026, studiuesit zbuluan 7 dobësi kritike, mbi 135,000 raste të ekspozuara dhe mbi 800 aftësi malinje që shpërndanin malware përmes tregut zyrtar ClawHub.
Google filloi të bllokojë abonentët pagesorë të AI që përdorin OpenClaw. Meta e ndaloi atë në të gjitha pajisjet e punës. CrowdStrike, Cisco dhe Nature publikuan këshilla urgjente.
Nëse përdorni OpenClaw, gjëja e parë që duhet të bëni është të siguroni kredencialet legjitime të API-së përmes AI Perks - çelësat e rrjedhur dhe të vjedhur nga rastet e komprometuara po qarkullojnë tashmë në internet.
Kurseni buxhetin e startup-it tuaj në mjetet AI
| Software | Afers Kredite | Indeksi I Miratimit | Veprimet | |
|---|---|---|---|---|
Kronologjia e Krizës - Si U Zhvillua Gjithçka
Kriza nuk ndodhi brenda natës. Ajo përshkallëzua gjatë një periudhe tre-javore ndërsa studiuesit e sigurisë hoqën shtresë pas shtrese dobësish.
| Data | Ngjarja |
|---|---|
| 29 Jan | CVE-2026-25253 u riparua në heshtje në OpenClaw v2026.1.29 |
| 3 Shkurt | CVE-2026-25253 u bë publikisht e njohur - CVSS 8.8 (RCE me një klikim) |
| 4 Shkurt | U bë publikisht e njohur një dobësi shtesë për injektimin e komandave |
| 5 Shkurt | Studiuesit zbulojnë 341 aftësi malinje në ClawHub (~12% të regjistrit) |
| 6 Shkurt | Thyerja e Moltbook zbulon 1.5 milionë çelësa API |
| 7-8 Shkurt | Google fillon kufizimin e abonentëve të AI që përdorin OpenClaw |
| 9 Shkurt | SecurityScorecard raporton mbi 40,000 raste të ekspozuara të OpenClaw |
| 15 Shkurt | Rastet e ekspozuara arrijnë në mbi 135,000; aftësi malinje rriten në mbi 800 |
| 17 Shkurt | Sulmi në zinxhirin e furnizimit me Cline CLI 2.3.0 instaloi në heshtje OpenClaw |
| 20 Shkurt | Meta ndalon OpenClaw në pajisjet e punës; The Register publikon raportin e plotë të Cline |
Tre javë. Kështu u kthye OpenClaw nga projekti më emocionues me burim të hapur në histori në tregimin më të madh paralajmërues për sigurinë në AI.
AI Perks ofron qasje në zbritje ekskluzive, kredite dhe oferta për mjete AI, shërbime cloud dhe API për të ndihmuar startup-et dhe zhvilluesit të kursejnë para.
7 Dobësitë që Tronditën OpenClaw
Shtatë CVE u bënë të njohura brenda disa javësh nga njëra-tjetra. Tre kanë kod shfrytëzimi publik në dispozicion, që do të thotë se kushdo mund t'i përdorë ato kundër rasteve të pashpërndara.
CVE-2026-25253 - Ekzekutim Kodi Remot me Një Klikim (CVSS 8.8)
Ky ishte problemi kryesor. Një lidhje malinje e dërguar përmes çdo platforme mesazhesh - WhatsApp, Telegram, Discord - mund të rrëmbejë një rast të plotë OpenClaw në milisekonda.
Dobësia shfrytëzoi parametrin e kërkesës gatewayURL për të nxjerrë çelësat e autentikimit. Pasi një sulmues kishte çelësin, ai mund të ekzekutonte komanda arbitrare në makinën e viktimës. Qasje e plotë në sistem me një klikim.
Riparimi u lëshua në v2026.1.29 më 29 janar, por CVE nuk u bë publikisht i njohur deri më 3 shkurt. Studiuesit vlerësojnë se mijëra raste mbetën të pashpërndara për javë me radhë.
Gjashtë CVE-të e Tjera
| Dobësia | Lloji | Graviteti | Ndikimi |
|---|---|---|---|
| SSRF (Server-Side Request Forgery) | Rrjeti | Lartë | Sulmuesit aksesojnë shërbimet e brendshme përmes OpenClaw |
| Mungesa e Autentikimit | Kontrolli i Qasjes | Kritike | Nuk kërkohen kredenciale për të kontrolluar rastet e ekspozuara |
| Traversimi i Shtegut | Sistemi i Skedarëve | Lartë | Lexoni ose shkruani skedarë arbitrarë në makinën pritëse |
| Injektimi i Komandave | Ekzekutimi | Lartë | Ekzekutoni komanda sistemi përmes hyrjeve të krijuara |
| Nxjerja e Çelësave (Gateway) | Autentikimi | Kritike | Vjedh çelësa sesioni përmes URL-ve malinje |
| Konfigurimi Parazgjedhur i Pasigurt | Konfigurimi | Mesatare | Lidh me 0.0.0.0:18789 - dëgjon në të gjitha ndërfaqet e rrjetit |
Problemi i konfigurimit parazgjedhur meriton vëmendje të veçantë. Të instaluar, OpenClaw dëgjon në të gjitha ndërfaqet e rrjetit në portin 18789 me autentikim të pamundshëm. Kjo do të thotë që çdo rast i sapo instaluar është menjëherë i aksesueshëm për këdo në të njëjtin rrjet - ose për të gjithë internetin nëse porti është i ekspozuar.
135,000 Raste të Ekspozuara - Shkalla e Problemës
Ekipi STRIKE i SecurityScorecard kreu një skanim në të gjithë internetin dhe zbuloi se numrat ishin mahnitës.
Gjetje kryesore:
- Mbi 135,000 raste OpenClaw të ekspozuara në internetin publik
- 93.4% e rasteve të ekspozuara treguan kushte të anashkalimit të autentikimit
- 5,194 raste u verifikuan në mënyrë aktive si të dobëta ndaj CVE-ve të njohura
- Mbi 53,000 raste të lidhura me adresa IP të shoqëruara me aktorë të njohur të kërcënimit
Numrat u rritën shpejt. Një studim i pavarur më herët më 9 shkurt gjeti 42,665 raste të ekspozuara. Gjashtë ditë më vonë, numri ishte më se trefishuar.
Çfarë do të thotë "i ekspozuar"? Do të thotë që rasti OpenClaw është i aksesueshëm nga interneti pa autentikim. Kushdo që e gjen atë mund të dërgojë komanda, të lexojë të dhëna, të aksesojë llogaritë e mesazheve të lidhura dhe të ekzekutojë kod në makinën pritëse.
Për përdoruesit që përdorin OpenClaw me kredenciale legjitime API nga AI Perks - kontrolloni menjëherë nëse rasti juaj është i aksesueshëm publikisht. Nëse është, fikeni, rrotulloni çelësat tuaj API dhe aktivizoni autentikimin përpara se ta ri lidhni.
Mbi 800 Aftësi Malinje - Sulmi në Zinxhirin e Furnizimit ClawHub
ClawHub është tregu zyrtar i aftësive të OpenClaw - ekuivalenti i npm për Node.js ose pip për Python. Ai kishte rreth 3,000+ aftësi kur filloi kriza.
Studiuesit gjetën se 20% e tyre ishin malinje.
Skanimi fillestar më 5 shkurt zbuloi 341 aftësi malinje në të gjithë regjistrin. Një skanim pasues më 15 shkurt gjeti se numri ishte rritur në mbi 800 - që do të thotë se pothuajse një në pesë aftësi ClawHub ishte krijuar për të vjedhur të dhënat e përdoruesit.
Çfarë Bëjnë Aftësitë Malinje
Pajisja kryesore ishte Atomic macOS Stealer (AMOS) - një malware i njohur për vjedhjen e kredencialeve që synon:
- Fjalëkalimet dhe cookies të shfletuesit (Chrome, Firefox, Safari, Brave)
- Kuletat e kriptovalutave (MetaMask, Phantom, Coinbase Wallet)
- Fjalëkalimet e Keychain në macOS
- Kredencialet e sistemit dhe çelësat SSH
Përdoruesit që instaluan ndonjë aftësi ClawHub të paverifikuar gjatë kësaj periudhe duhet të supozojnë se kredencialet e tyre janë komprometuar.
Sulmi në Zinxhirin e Furnizimit Cline CLI (17 Shkurt)
Më 17 shkurt, studiuesit e sigurisë zbuluan se Cline CLI versioni 2.3.0 - një mjet popullor komandash - ishte komprometuar për të instaluar OpenClaw në heshtje në makinat e përdoruesve. Versioni malinj ishte në dispozicion për rreth 8 orë para se të zbaritet dhe hiqej.
Një vlerësim prej 4,000 shkarkimesh ndodhën gjatë kësaj periudhe. Përdoruesit që instaluan Cline CLI gjatë kësaj periudhe mund të kenë një rast OpenClaw që funksionon pa dijeninë e tyre.
Google dhe Meta Bllokojnë OpenClaw - Përgjigja e Industrisë
Kriza e sigurisë ngjalli kundërpërgjigje nga emrat më të mëdhenj të teknologjisë.
Google filloi të kufizojë masivisht abonentët pagesorë Gemini AI Pro dhe Ultra (planet me 249 $/muaj) që përdorën OpenClaw për të aksesuar modelet. Përdoruesit raportuan se ishin bllokuar pa paralajmërim, duke humbur aksesin në shërbimet për të cilat paguanin. Qëndrimi i Google: përdorimi i mjeteve të palëve të treta për të aksesuar modelet AI shkel kushtet e shërbimit.
Meta lëshoi një direktivë të brendshme që ndalon OpenClaw në të gjitha pajisjet e punës. Punonjësve iu bë e ditur se përdorimi i OpenClaw mund të rezultojë në pushim nga puna. Shumë firma të tjera teknologjike ndoqën të njëjtin shembull, sipas raportimeve nga Korea Times.
CrowdStrike publikoi një këshillë të detajuar duke e quajtur OpenClaw "një klasë të re rreziku sigurie - një agjent autonom me akses të gjerë në sistem që shumica e përdoruesve e vendosin pa higjenë bazë të sigurisë."
Cisco përshkroi agjentët personalë AI si OpenClaw si "një makth sigurie" në një postim në blog nga ekipi i tyre i sigurisë.
Nature publikoi një artikull të titulluar "Bisedat AI të OpenClaw po bëhen të pakontrollueshme - këta shkencëtarë po dëgjojnë", duke dokumentuar shqetësimin në rritje të komunitetit akademik.
Mesazhi nga industria ishte i qartë: OpenClaw është i fuqishëm, por pozicioni parazgjedhur i sigurisë është i papranueshëm për përdorim profesional.
Si të Mbroheni Nëse Përdorni OpenClaw
Kriza është serioze, por OpenClaw ende mund të përdoret me masa paraprake të duhura. Këto janë hapat thelbësorë, duke filluar me më të rëndësinë.
Hapi 1: Merreni Kredite Legjitime API
Mos përdorni kurrë çelësa API të rrjedhur, të ndarë ose "falas" nga interneti. Thyerja e Moltbook zbuloi 1.5 milionë çelësa API. Çelësat e vjedhur po qarkullojnë në forume të dark web dhe kanale Telegram.
Merrni kredencialet tuaja legjitime përmes AI Perks:
| Program Krediti | Kredite të Disponueshme | Si të Merret |
|---|---|---|
| Anthropic Claude (Direkt) | 1,000 - 25,000 $ | Udhëzues AI Perks |
| OpenAI (GPT-4) | 500 - 50,000 $ | Udhëzues AI Perks |
| AWS Activate (Bedrock) | 1,000 - 100,000 $ | Udhëzues AI Perks |
| Microsoft Founders Hub | 500 - 1,000 $ | Udhëzues AI Perks |
Totali potencial: 3,000 - 176,000 $ në kredite legjitime
Me çelësat tuaj nga AI Perks, ju kontrolloni atë që ekspozohet. Nëse ndodh një thyerje, ju mund të rrotulloni çelësat tuaj menjëherë pa u varur nga infrastruktura e komprometuar.
Hapi 2: Përditësoni në v2026.2.22 Menjëherë
Versioni më i fundit përfshin mbi 40 riparime të forcimit të sigurisë, autentifikimin e gateway dhe menaxhimin e pajisjes. Kontrolloni versionin tuaj dhe përditësoni:
openclaw --version
openclaw update
Çdo version para 2026.1.29 është i dobët ndaj RCE me një klikim. Çdo version para 2026.2.22 i mungon forcimi kritik i sigurisë.
Hapi 3: Aktivizoni Autentikimin
OpenClaw ofrohet me autentikim të çaktivizuar parazgjedhur. Ky është arsyeja kryesore që 93.4% e rasteve të ekspozuara kishin anashkalim të autentikimit.
Aktivizojeni atë në konfigurimin tuaj:
security:
authentication: true
gateway_auth: true
Hapi 4: Kontrolloni Aftësitë Tuaja të Instaluara
Hiqni çdo aftësi ClawHub që nuk keni verifikuar personalisht. Me 20% të regjistrit të komprometuar, qasja më e sigurt është të çinstaloni gjithçka dhe të riinstaloni vetëm aftësitë që keni shqyrtuar:
openclaw skill list
openclaw skill inspect [emri-aftesise]
openclaw skill remove [aftesi-e-dyshimte]
Hapi 5: Ndiqni Udhëzuesin e Plotë të Forcimit
Për një listë të plotë kontrolli sigurie me 10 hapa që mbulon kufizimet e rrjetit, konfigurimin e sandbox, regjistrimin dhe limitet e shpenzimeve - lexoni Udhëzuesin e Sigurisë së OpenClaw.
Alternativa më të Sigurta Vlejnë të Konsiderohen
Nëse kriza e sigurisë ju bën të rishikoni OpenClaw, ka alternativa të menaxhuara që kujdesen për sigurinë për ju. Kompromisi: më pak personalizim, por asnjë CVE për t'u shqetësuar.
| Karakteristikë | OpenClaw (Vetë-pritës) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Modeli i Sigurisë | Ju menaxhoni gjithçka | Menaxhuar nga Anthropic | Menaxhuar nga Meta | Menaxhuar nga OpenAI |
| Historia e CVE | 7 CVE në Shkurt 2026 | Asnjë publik | Asnjë publik | Asnjë publik |
| Vendndodhja e të Dhënave | Pajisja juaj | Cloud | Sandbox cloud | Cloud |
| Personalizimi | Kontroll i plotë | Të fokusuar në kod | Të fokusuar në detyra | Përgjithësim |
| Kostoja | Vetëm kredite API | 20-200 $/muaj | 39-199 $/muaj | 20-200 $/muaj |
Çdo alternativë ende kërkon kredite API AI për të funksionuar në kapacitet të plotë. AI Perks mbulon programe krediti për Anthropic, OpenAI, AWS, Google Cloud dhe më shumë - kështu që ju jeni të mbuluar pavarësisht se cilin mjet zgjidhni.
Për një analizë të detajuar të secilës alternativë, shikoni udhëzuesin tonë Alternativat më të Mira të OpenClaw.
Pyetje të Shpeshta
A u hakua OpenClaw në Shkurt 2026?
OpenClaw në vetvete nuk u hakua në kuptimin tradicional. U zbuluan dhe u bënë të njohura shtatë dobësi kritike, mbi 135,000 raste u gjetën të ekspozuara në internet pa autentikim, dhe mbi 800 aftësi malinje u gjetën në ClawHub duke shpërndarë malware për vjedhjen e kredencialeve. Thyerja e Moltbook gjithashtu zbuloi 1.5 milionë çelësa API.
A është e sigurt të përdoret OpenClaw tani?
Po, me konfigurim të duhur. Përditësoni në v2026.2.22, aktivizoni autentikimin, kontrolloni aftësitë tuaja dhe përdorni kredite API legjitime nga AI Perks. Një instalim parazgjedhur pa forcim nuk është i sigurt - por një rast i konfiguruar siç duhet me përditësimet më të fundit adreson të gjitha dobësitë e njohura.
Pse Google bllokoi përdoruesit e OpenClaw?
Google kufizoi abonentët pagesorë Gemini AI që përdorën OpenClaw për të aksesuar modelet AI të Google përmes mjeteve të palëve të treta. Kjo shkel kushtet e shërbimit të Google. Përdoruesit raportuan humbjen e aksesit në planet me 249 $/muaj pa paralajmërim. Përdorni kredite API direkte nga AI Perks në vend të abonimeve konsumatore.
Çfarë është sulmi në zinxhirin e furnizimit Cline CLI?
Më 17 shkurt 2026, Cline CLI versioni 2.3.0 u komprometua për të instaluar në heshtje OpenClaw në makinat e përdoruesve. Versioni malinj ishte në dispozicion për rreth 8 orë para se të zbvaritet. Një vlerësim prej 4,000 shkarkimesh ndodhën. Nëse keni instaluar Cline CLI gjatë kësaj periudhe, kontrolloni për instalime të paautorizuara të OpenClaw.
Sa aftësi malinje OpenClaw ekzistojnë në ClawHub?
Që nga mesi i shkurtit 2026, studiuesit gjetën mbi 800 aftësi malinje në ClawHub - rreth 20% të të gjithë regjistrit. Pajisja kryesore është Atomic macOS Stealer (AMOS), e cila synon fjalëkalimet e shfletuesve, kuletat e kriptovalutave dhe kredencialet e sistemit. Instaloni vetëm aftësi që keni shqyrtuar personalisht.
Çfarë duhet të bëj nëse rasti im OpenClaw ishte i ekspozuar?
Menjëherë: fikeni rastin, rrotulloni të gjithë çelësat API, ndryshoni fjalëkalimet për çdo llogari të lidhur (email, platforma mesazhesh, kuletat kripto) dhe skanoni për malware. Më pas përditësoni në v2026.2.22, aktivizoni autentikimin dhe merrni kredite API legjitime të reja nga AI Perks përpara se ta ri lidhni.
A ia vlen ende të përdoret OpenClaw pas krizës së sigurisë?
OpenClaw mbetet agjenti AI me burim të hapur më i fuqishëm në dispozicion. Problemet e sigurisë rrjedhin nga parazgjedhjet e pasigurta dhe një ekosistem aftësish me rritje të shpejtë - jo nga defektet themelore të dizajnit. Me forcim të duhur, kredenciale legjitime dhe menaxhim të kujdesshëm të aftësive, ai mbetet një mjet bindës. Mësimi kryesor: mos e përdorni kurrë me cilësimet parazgjedhur.
Kriza e Sigurisë është një Sinjal për Agjentët AI
Kriza e OpenClaw zbuloi një të vërtetë të vështirë: agjentët AI me burim të hapur me akses në nivel sistemi kërkojnë higjenë serioze sigurie. Përvoja parazgjedhur "instalo dhe përdor" që e bëri OpenClaw viral është e njëjta gjë që la mbi 135,000 raste të ekspozuara.
Fondacioni OpenClaw (tani i mbështetur nga OpenAI pas lëvizjes së Peter Steinberger) po riparon në mënyrë aktive këto probleme. Versioni 2026.2.22 përfshin mbi 40 patches për forcimin e sigurisë. Komuniteti është më i fortë sepse ka kaluar këtë.
Por përgjegjësia ende bie mbi ju. Përditësoni instalimin tuaj, aktivizoni autentikimin, kontrolloni aftësitë tuaja dhe filloni me kredite API legjitime nga AI Perks. Pavarësisht nëse qëndroni me OpenClaw ose kaloni në një alternativë të menaxhuar - ju nevojiten kredite reale, jo çelësa të vjedhur.
Mos lejoni që një krizë sigurie t'ju kushtojë më shumë nga sa duhet. Merrni kredite legjitime AI dhe përdorni mjetet tuaja në mënyrë të sigurt në getaiperks.com.
