AI Perks пружа приступ ексклузивним попустима, кредитима и понудама за AI алате, cloud услуге и API-је како би помогао стартапима и програмерима да уштеде новац.
Bezbednosna kriza OpenClaw-a - Najveći skandal AI alata 2026. godine
OpenClaw - open-source AI agent sa preko 180.000 zvezdica na GitHub-u - pogodio je najgora bezbednosna kriza u istoriji AI alata. U februaru 2026. istraživači su otkrili 7 kritičnih ranjivosti, preko 135.000 izloženih instanci i preko 800 zlonamernih veština koje isporučuju malver putem zvaničnog tržišta ClawHub.
Google je počeo da zabranjuje plaćene AI pretplatnike koji koriste OpenClaw. Meta ga je zabranila na svim radnim uređajima. CrowdStrike, Cisco i Nature objavili su hitna upozorenja.
Ako koristite OpenClaw, prva stvar koju treba da uradite je da obezbedite legitimne API akreditive putem AI Perks - procurili i ukradeni ključevi iz kompromitovanih instanci već kruže onlajn.
Уштеди свој буџет за AI алате
| Software | Приб Кредити | Индекс Одобрења | Радње | |
|---|---|---|---|---|
Vremenska linija krize - Kako se sve odvijalo
Kriza se nije dogodila preko noći. Ekalirala je tokom trodnevnog perioda dok su bezbednosni istraživači skidali sloj po sloj ranjivosti.
| Datum | Događaj |
|---|---|
| 29. januar | CVE-2026-25253 tiho zakrpljen u OpenClaw v2026.1.29 |
| 3. februar | CVE-2026-25253 javno objavljen - CVSS 8.8 (RCE jednim klikom) |
| 4. februar | Otkrivena dodatna CVE za ubacivanje komandi |
| 5. februar | Istraživači otkrivaju 341 zlonamernu veštinu na ClawHub-u (~12% registra) |
| 6. februar | Moltbook proboj otkriva 1,5 miliona API tokena |
| 7-8. februar | Google počinje sa ograničavanjem AI pretplatnika koji koriste OpenClaw |
| 9. februar | SecurityScorecard izveštava o preko 40.000 izloženih instanci OpenClaw-a |
| 15. februar | Izložene instance rastu na preko 135.000; zlonamerne veštine rastu na preko 800 |
| 17. februar | Cline CLI 2.3.0 napad na lanac snabdevanja prikriveno instalira OpenClaw |
| 20. februar | Meta zabranjuje OpenClaw na radnim uređajima; The Register objavljuje kompletan Cline izveštaj |
Tri nedelje. Toliko je brzo OpenClaw prešao sa najuzbudljivijeg open-source projekta u istoriji na najveću bezbednosnu poučnu priču u AI.
AI Perks пружа приступ ексклузивним попустима, кредитима и понудама за AI алате, cloud услуге и API-је како би помогао стартапима и програмерима да уштеде новац.
7 ranjivosti koje su uzdrmale OpenClaw
Sedam CVE-ova objavljeno je u razmaku od nekoliko nedelja. Za tri postoje javni eksploatativni kod, što znači da ih bilo ko može koristiti protiv nezaštićenih instanci.
CVE-2026-25253 - Daljinsko izvršavanje koda jednim klikom (CVSS 8.8)
Ovo je bio glavni problem. Zlonamerni link poslat putem bilo koje platforme za razmenu poruka - WhatsApp, Telegram, Discord - mogao je da otme celu instancu OpenClaw-a u milisekundama.
Ranjivost je iskoristila gatewayURL upitni parametar za ekstrakciju autentifikacionih tokena. Kada bi napadač imao token, mogao je da izvrši proizvoljne komande na žrtvinom računaru. Puni pristup sistemu jednim klikom.
Ispravka je objavljena u v2026.1.29 29. januara, ali CVE nije javno objavljen do 3. februara. Istraživači procenjuju da je hiljade instanci ostalo nezaštićeno nedeljama.
Ostalih šest CVE-ova
| Ranjivost | Tip | Jačina | Uticaj |
|---|---|---|---|
| SSRF (Server-Side Request Forgery) | Mreža | Visok | Napadači pristupaju internim uslugama preko OpenClaw-a |
| Nedostajuća autentifikacija | Kontrola pristupa | Kritičan | Nisu potrebni akreditivi za kontrolu izloženih instanci |
| Prolazak kroz putanje | Fajl sistem | Visok | Čitanje ili pisanje proizvoljnih datoteka na host mašini |
| Ubacivanje komandi | Izvršavanje | Visok | Izvršavanje sistemskih komandi putem kreiranih ulaza |
| Ekstrakcija tokena (Gateway) | Autentifikacija | Kritičan | Krađa tokena sesije putem zlonamernih URL-ova |
| Nesigurna podrazumevana konfiguracija | Konfiguracija | Srednji | Povezuje se na 0.0.0.0:18789 - sluša na svim mrežnim interfejsima |
Problem podrazumevane konfiguracije zaslužuje posebnu pažnju. Iz kutije, OpenClaw sluša na svim mrežnim interfejsima na portu 18789 bez potrebe za autentifikacijom. Ovo znači da je svaka novoinstalirana instanca odmah dostupna svima u istoj mreži - ili celom internetu ako je port izložen.
135.000 izloženih instanci - Skala problema
Tim STRIKE kompanije SecurityScorecard sproveo je skeniranje interneta i otkrio da su brojevi zapanjujući.
Ključni nalazi:
- 135.000+ instanci OpenClaw-a izloženih javnom internetu
- 93,4% izloženih instanci pokazalo je uslove za zaobilaženje autentifikacije
- 5.194 instance aktivno verifikovane kao ranjive na poznate CVE-ove
- 53.000+ instanci povezanih sa IP adresama koje su povezane sa poznatim pretnjama
Brojevi su brzo rasli. Ranija nezavisna studija od 9. februara otkrila je 42.665 izloženih instanci. Šest dana kasnije, broj se više nego utrostručio.
Šta znači "izložen"? To znači da je instanca OpenClaw-a dostupna sa interneta bez autentifikacije. Bilo ko ko je pronađe može slati komande, čitati podatke, pristupati povezanim nalozima za razmenu poruka i izvršavati kod na host mašini.
Za korisnike koji koriste OpenClaw sa legitimnim API akreditivima od AI Perks - odmah proverite da li je vaša instanca javno dostupna. Ako jeste, isključite je, zamenite API ključeve i omogućite autentifikaciju pre ponovnog povezivanja.
800+ zlonamernih veština - Napad na lanac snabdevanja ClawHub-a
ClawHub je zvanično tržište veština za OpenClaw - ekvivalent npm-a za Node.js ili pip-a za Python. Imao je oko 3.000+ veština kada je kriza počela.
Istraživači su otkrili da je 20% njih bilo zlonamerno.
Početno skeniranje 5. februara otkrilo je 341 zlonamernu veštinu širom registra. Naknadno skeniranje 15. februara otkrilo je da je broj porastao na 800+ - što znači da je otprilike svaka peta ClawHub veština dizajnirana da ukrade korisničke podatke.
Šta rade zlonamerne veštine
Primarni teret bio je Atomic macOS Stealer (AMOS) - poznati malver za krađu akreditiva koji cilja:
- Lozinke i kolačiće pregledača (Chrome, Firefox, Safari, Brave)
- Kripto novčanike (MetaMask, Phantom, Coinbase Wallet)
- Lozinke iz Keychain-a na macOS-u
- Sistemske akreditive i SSH ključeve
Korisnici koji su instalirali bilo koju neproverenu ClawHub veštinu tokom ovog perioda treba da pretpostave da su njihovi akreditivi kompromitovani.
Napad na lanac snabdevanja Cline CLI (17. februar)
Dana 17. februara, bezbednosni istraživači su otkrili da je Cline CLI verzija 2.3.0 - popularan alat komandne linije - bio kompromitovan da tiho instalira OpenClaw na korisničke mašine. Zlonamerna verzija bila je aktivna oko 8 sati pre nego što je otkrivena i povučena.
Procenuje se da je 4.000 preuzimanja izvršeno tokom tog perioda. Korisnici koji su instalirali Cline CLI tokom ovog perioda možda imaju aktivnu instancu OpenClaw-a bez njihovog znanja.
Google i Meta zabranjuju OpenClaw - Reakcija industrije
Bezbednosna kriza izazvala je povratnu reakciju korporacija od najvećih imena u tehnologiji.
Google je počeo masovno da ograničava plaćene Gemini AI Pro i Ultra pretplatnike (planovi od 249 USD/mesečno) koji su koristili OpenClaw za pristup modelima. Korisnici su prijavili da su zabranjeni bez upozorenja, gubeći pristup uslugama za koje su plaćali. Stav Google-a: korišćenje alata trećih strana za pristup AI modelima krši uslove korišćenja.
Meta je izdala internu direktivu kojom zabranjuje OpenClaw na svim radnim uređajima. Zaposlenima je upozoreno da korišćenje OpenClaw-a može dovesti do otpuštanja. Više drugih tehnoloških kompanija je sledilo njihov primer, prema izveštajima Korea Times-a.
CrowdStrike je objavio detaljno upozorenje nazivajući OpenClaw "novom klasom bezbednosnog rizika - autonomnim agentom sa širokim sistemskim pristupom koji većina korisnika koristi bez osnovne bezbednosne higijene."
Cisco je u postu na blogu svog bezbednosnog tima opisao lične AI agente poput OpenClaw-a kao "noćnu moru za bezbednost."
Nature je objavio članak pod naslovom "OpenClaw AI chatbotovi divljaju - ovi naučnici slušaju," dokumentujući rastuću zabrinutost akademske zajednice.
Poruka iz industrije bila je jasna: OpenClaw je moćan, ali podrazumevana bezbednosna postavka je neprihvatljiva za profesionalnu upotrebu.
Kako se zaštititi ako koristite OpenClaw
Kriza je ozbiljna, ali OpenClaw je i dalje upotrebljiv uz odgovarajuće mere predostrožnosti. Evo ključnih koraka, počevši od najvažnijeg.
Korak 1: Nabavite legitimne API kredite
Nikada ne koristite procurile, deljene ili "besplatne" API ključeve sa interneta. Moltbook proboj otkrio je 1,5 miliona API tokena. Ukradeni ključevi kruže na forumima na tamnom webu i Telegram kanalima.
Nabavite sopstvene legitimne kredite putem AI Perks:
| Kreditni program | Dostupni krediti | Kako dobiti |
|---|---|---|
| Anthropic Claude (Direktno) | 1.000 - 25.000 USD | AI Perks Vodič |
| OpenAI (GPT-4) | 500 - 50.000 USD | AI Perks Vodič |
| AWS Activate (Bedrock) | 1.000 - 100.000 USD | AI Perks Vodič |
| Microsoft Founders Hub | 500 - 1.000 USD | AI Perks Vodič |
Ukupan potencijal: 3.000 - 176.000 USD u legitimnim kreditima
Sa sopstvenim ključevima od AI Perks, vi kontrolišete šta se izlaže. Ako dođe do proboja, možete odmah zameniti svoje ključeve bez oslanjanja na kompromitovanu infrastrukturu.
Korak 2: Ažurirajte na v2026.2.22 odmah
Najnovije izdanje uključuje 40+ zakrpa za pojačavanje bezbednosti, autentifikaciju gateway-a i upravljanje uređajima. Proverite svoju verziju i ažurirajte:
openclaw --version
openclaw update
Bilo koja verzija pre 2026.1.29 je ranjiva na RCE jednim klikom. Bilo koja verzija pre 2026.2.22 nedostaje kritično pojačanje bezbednosti.
Korak 3: Omogućite autentifikaciju
OpenClaw dolazi sa onemogućenom podrazumevanom autentifikacijom. Ovo je glavni razlog zašto je 93,4% izloženih instanci imalo zaobilaženje autentifikacije.
Omogućite je u svojoj konfiguraciji:
security:
authentication: true
gateway_auth: true
Korak 4: Revizija instaliranih veština
Uklonite sve ClawHub veštine koje niste lično proverili. Sa 20% registra kompromitovano, najsigurniji pristup je deinstaliranje svega i ponovno instaliranje samo veština koje ste pregledali:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
Korak 5: Pratite kompletan vodič za pojačavanje
Za potpunu listu provere od 10 koraka za bezbednost koja pokriva mrežna ograničenja, konfiguraciju sandbox-a, logovanje i ograničenja potrošnje - pročitajte naš OpenClaw Vodič za bezbednost.
Vredne alternative koje treba razmotriti
Ako vas bezbednosna kriza navodi na preispitivanje OpenClaw-a, postoje upravljane alternative koje se brinu o bezbednosti umesto vas. Kompromis: manje prilagođavanja, ali nema CVE-ova o kojima treba brinuti.
| Karakteristika | OpenClaw (Samo-hostovani) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Model bezbednosti | Vi upravljate svime | Upravljano od strane Anthropic | Upravljano od strane Meta | Upravljano od strane OpenAI |
| Istorija CVE | 7 CVE-ova u februaru 2026. | Nema javnih | Nema javnih | Nema javnih |
| Lokacija podataka | Vaš uređaj | Cloud | Cloud sandbox | Cloud |
| Prilagođavanje | Puna kontrola | Fokusirano na kod | Fokusirano na zadatke | Opšte namene |
| Cena | Samo API krediti | 20-200 USD/mesečno | 39-199 USD/mesečno | 20-200 USD/mesečno |
Svaka alternativa i dalje zahteva AI API kredite za pun kapacitet. AI Perks pokriva kreditne programe za Anthropic, OpenAI, AWS, Google Cloud i druge - tako da ste pokriveni bez obzira koji alat odaberete.
Za detaljan pregled svake alternative, pogledajte naš vodič Najbolje alternative za OpenClaw.
Često postavljana pitanja
Da li je OpenClaw hakovan u februaru 2026. godine?
Sam OpenClaw nije bio hakovan u tradicionalnom smislu. Otkriveno je i objavljeno sedam kritičnih ranjivosti, preko 135.000 instanci pronađeno je izloženo internetu bez autentifikacije, a preko 800 zlonamernih veština pronađeno je na ClawHub-u koje isporučuju malver za krađu akreditiva. Moltbook proboj je takođe otkrio 1,5 miliona API tokena.
Da li je OpenClaw bezbedan za korišćenje upravo sada?
Da, uz pravilnu konfiguraciju. Ažurirajte na v2026.2.22, omogućite autentifikaciju, reviziju veština i koristite legitimne API akreditive od AI Perks. Nezaštićena podrazumevana instalacija nije bezbedna - ali pravilno konfigurisana instanca sa najnovijim zakrpama rešava sve poznate ranjivosti.
Zašto je Google zabranio korisnike OpenClaw-a?
Google je ograničio plaćene Gemini AI pretplatnike koji su koristili OpenClaw za pristup Google AI modelima putem alata trećih strana. Ovo krši Googleove uslove korišćenja. Korisnici su prijavili gubitak pristupa planovima od 249 USD/mesečno bez upozorenja. Umesto potrošačkih pretplata, koristite direktne API kredite od AI Perks.
Šta je napad na lanac snabdevanja Cline CLI?
Dana 17. februara 2026., Cline CLI verzija 2.3.0 je kompromitovana da tiho instalira OpenClaw na korisničke mašine. Zlonamerna verzija bila je aktivna oko 8 sati pre nego što je povučena. Procenjuje se da je izvršeno 4.000 preuzimanja. Ako ste instalirali Cline CLI tokom ovog perioda, proverite neovlašćene instalacije OpenClaw-a.
Koliko zlonamernih OpenClaw veština postoji na ClawHub-u?
Od sredine februara 2026., istraživači su pronašli preko 800 zlonamernih veština na ClawHub-u - otprilike 20% celog registra. Primarni teret je Atomic macOS Stealer (AMOS), koji cilja na lozinke pregledača, kripto novčanike i sistemske akreditive. Instalirajte samo veštine koje ste lično pregledali.
Šta da uradim ako je moja OpenClaw instanca bila izložena?
Odmah: isključite instancu, zamenite sve API ključeve, promenite lozinke za sve povezane naloge (e-poštu, platforme za razmenu poruka, kripto novčanike) i skenirajte na malver. Zatim ažurirajte na v2026.2.22, omogućite autentifikaciju i nabavite nove legitimne API kredite od AI Perks pre ponovnog povezivanja.
Da li se OpenClaw još uvek isplati koristiti nakon bezbednosne krize?
OpenClaw ostaje najmoćniji open-source AI agent dostupan. Bezbednosni problemi potiču od nesigurnih podrazumevanih postavki i brzo rastućeg ekosistema veština - ne od fundamentalnih dizajnerskih nedostataka. Sa pravilnim pojačavanjem, legitimnim akreditivima i pažljivim upravljanjem veštinama, i dalje je ubedljiv alat. Ključna lekcija: nikada ga ne pokrećite sa podrazumevanim postavkama.
Bezbednosna kriza je poziv na buđenje za AI agente
Kriza OpenClaw-a otkrila je tešku istinu: open-source AI agenti sa sistemskim pristupom zahtevaju ozbiljnu bezbednosnu higijenu. Podrazumevano iskustvo "instaliraj i kreni" koje je OpenClaw učinilo viralnim je isto ono što je ostavilo preko 135.000 instanci izloženim.
OpenClaw Fondacija (sada podržana od strane OpenAI-a nakon prelaska Petera Steinbergera) aktivno rešava ove probleme. Verzija 2026.2.22 uključuje 40+ zakrpa za pojačavanje bezbednosti. Zajednica je jača jer je prošla kroz ovo.
Ali odgovornost i dalje leži na vama. Ažurirajte svoju instalaciju, omogućite autentifikaciju, reviziju veština i počnite sa legitimnim API akreditivima od AI Perks. Bilo da ostanete pri OpenClaw-u ili pređete na upravljanu alternativu - potrebni su vam pravi krediti, a ne ukradeni ključevi.
Pretplatite se na getaiperks.com →
Nemojte dozvoliti da vas bezbednosna kriza košta više nego što mora. Nabavite legitimne AI kredite i bezbedno pokrenite svoje alate na getaiperks.com.
