OpenClaw: prima criză majoră de securitate a agenților AI

8 min.
Aida Stoica
Aida Stoica


OpenClaw, agentul AI open-source creat de austriacul Peter Steinberger, a explodat viral în ianuarie 2026: peste 145.000 de stele și 20.000 de fork-uri pe GitHub, 2 milioane de vizitatori web într-o singură săptămână, și 106.000 de stele acumulate doar în primele 48 de ore după rebranding (29-30 ianuarie), conform Wikipedia și Growth Foundry.

Proiectul a devenit unul dintre cele mai rapid crescătoare repositorii din istoria GitHub, trezind interes masiv atât în rândul dezvoltatorilor cât și al utilizatorilor non-tehnici.

Dar această expunere a dus inevitabil și la găsirea de vulnerabilitati de securitate, transformând OpenClaw într-un adevărat studiu de caz live despre riscurile de securitate ale sistemelor agentice.

Dar cifrele record s-au înregistrat și în rândul skill-urilor malițioase, fiind identificate 386 de astfel de skill-uri (un fel de plug-in-uri care dotează OpenClaw cu noi capabilități) în registrul public ClawHub, conform Infosecurity Magazine.

Ce face cazul OpenClaw relevant nu este că ar fi fost un dezastru total — multe probleme au fost remediate — ci că ilustrează clar provocările de securitate ale unei noi categorii de software: agenții AI cu acces la sistem și extensii distribuite ca instrucțiuni text.

Context: ce este OpenClaw și de ce s-a viralizat

OpenClaw (inițial Clawdbot, apoi Moltbot) este un asistent AI local care rulează pe calculatorul utilizatorului și se controlează prin aplicații de mesagerie — WhatsApp, Telegram, Discord. Spre deosebire de ChatGPT, care doar sugerează acțiuni, OpenClaw le execută: citește email-uri, gestionează calendare, cumpără online, accesează fișiere.

Proiectul a explodat viral la sfârșitul lunii ianuarie 2026, acumulând peste 2 milioane de vizitatori și 180.000 de stele GitHub într-o săptămână, conform BackBox. Popularitatea vine din promisiunea de “AI care chiar face lucruri, nu doar generează text.”

Problema centrală: skill-uri ca vector de supply-chain

Extensiile OpenClaw — numite “skills” — sunt foldere cu instrucțiuni, scripturi și resurse care extind capabilitățile agentului. Spre deosebire de ecosistemele tradiționale de plugin-uri (browsere, IDE-uri) unde extensiile sunt cod semnat și verificat, skill-urile OpenClaw sunt în mare parte fișiere markdown cu instrucțiuni text.

Aici intervine Jamieson O’Reilly, researcher de securitate și fondatorul firmei DVULN. O’Reilly a fost primul care a documentat lacunele grave de securitate din OpenClaw, publicând rapoarte despre servere de control expuse și demonstrând prin proof-of-concept cât de ușor poate fi compromis un skill.

Experimentul său “What Would Elon Do?” a devenit celebru: O’Reilly a creat un skill bening dar a inflat artificial numărul de descărcări la peste 4.000. Developeri din șapte țări l-au instalat, conform Cyber Unit. Skill-ul afișa doar mesajul “YOU JUST GOT PWNED (harmlessly)” — dar a demonstrat că malware real ar fi ajuns la mii de instalări fără verificare.

Ce s-a descoperit concret

1. Instanțe expuse public: O’Reilly a folosit Shodan pentru a scana internetul după amprentele HTML distinctive ale OpenClaw. A găsit peste 1.800 de instanțe expuse public, dintre care opt complet neprotejate — fără autentificare, cu acces complet la comenzi și configurare, conform TechBuddies.

2. Credențiale în plaintext: API keys Anthropic, token-uri Telegram, credențiale OAuth Slack și istorice complete de conversații — toate accesibile fără autentificare pe instanțele expuse.

3. Skill-uri malițioase în ClawHub: Peste 386 de skill-uri malițioase au fost identificate de cercetătorii de la Koi Security și OpenSourceMalware. Multe se prezentau ca instrumente crypto sau utilități financiare, dar injectau infostealere — malware specializat în furtul de credențiale.

4. Vulnerabilitate CVE-2026-25253: Un exploit “one-click” RCE (remote code execution) descoperit de Mav Levin de la DepthFirst. Vulnerabilitatea exploata lipsa validării WebSocket origin header, permițând atacuri cross-site WebSocket hijacking printr-un singur click pe un link malițios, conform The Register.

Răspunsul comunității și remedierea problemelor

Aici devine interesant: Peter Steinberger l-a angajat pe Jamieson O’Reilly ca “reprezentant oficial de securitate” al proiectului, conform declarațiilor făcute pentru Infosecurity Magazine. O’Reilly, care inițial a expus problemele, lucrează acum cu echipa OpenClaw pentru a le remedia.

Vulnerabilitatea CVE-2026-25253 a fost patch-uită rapid în versiunea 2026.1.29. Echipa a introdus măsuri de hardening pe parcursul lunii februarie 2026:

  • Excludere metadate “untrusted” din system prompts pentru anumite canale
  • Sandboxing mai strict pentru atașamente
  • Scanner de siguranță pentru cod skill-uri/plugin-uri
  • Redactare credențiale din răspunsuri de configurare
  • TLS 1.3 ca protocol criptografic implicit (contribuție Cyberstorm.MU)

Steinberger a recunoscut public că OpenClaw este un “proiect hobbyist open-source”, nu un produs gata pentru utilizatori non-tehnici, conform declarațiilor sale pentru CNBC. A spus că îmbunătățiri de securitate sunt în curs și că a făcut progrese cu ajutorul comunității globale de securitate.

Ce rămâne structural riscant

Patch-urile rezolvă vulnerabilități punctuale, dar nu elimină riscul structural: skill-urile rămân un canal de supply-chain și social engineering.

Problema de bază: Atâta timp cât capabilitățile se extind prin pachete terțe neverificate, iar utilizatorii pot fi conduși să ruleze comenzi sau să instaleze dependențe necunoscute, riscul persistă. Nu este nevoie de exploit tehnic sofisticat — e suficient un skill popular și convingător.

O’Reilly subliniază că pentru agentul să funcționeze, are nevoie de “cheile împărăției”: email, calendar, fișiere. Metafora sa rezumă perfect problema: “Imaginează-te că te întorci acasă și găsești ușa deschisă, iar majordomul tău servește ceai oricui a intrat de pe stradă, în timp ce un străin îți citește jurnalul în birou.”

Probleme adiacente: Moltbook și baza de date expusă

Paralel cu OpenClaw, Moltbook — o rețea socială doar pentru agenți AI, creată de Matt Schlicht — a suferit o configurare greșită critică. O’Reilly a descoperit că întreaga bază de date era accesibilă public, inclusiv API keys secrete care ar fi permis oricui să posteze în numele oricărui agent, inclusiv al unor figuri proeminente precum Andrej Karpathy (1.9 milioane followeri pe X), conform HackMag.

Problema a fost remediată după ce O’Reilly a încercat ore întregi să-l contacteze pe Schlicht. Moltbook nu este parte din proiectul OpenClaw oficial, dar episodul ilustrează cum ecosistemul rapid în expansiune al agenților AI atrage și probleme de securitate similare.

Recomandări practice pentru utilizatori

O’Reilly, care acum colaborează cu OpenClaw pentru a identifica probleme de securitate, oferă următoarea perspectivă: utilizatorii pot reduce riscurile prin măsuri tehnice — rulare pe mașini separate, monitorizare atentă — dar “riscul nu va fi niciodată zero.”

Pentru experimentare sigură:

  • Rulați OpenClaw într-o mașină virtuală izolată, nu pe laptop-ul principal
  • Nu conectați agenți la conturi cu date sensibile sau credențiale de producție
  • Verificați manual codul oricărui skill înainte de instalare
  • Tratați directoarele de skill-uri ca “trusted code” — nu permiteți modificări neautorizate
  • Folosiți allowlist pentru skill-uri aprobate, nu instalați orice din ClawHub

Pentru companii: Cisco, 1Password și alți experți recomandă să tratați OpenClaw ca un proiect de cercetare, nu ca un utilitar de producție. Dacă angajați au rulat deja instanțe pe dispozitive corporate, evaluați scenariul ca potențial incident de securitate.

Lecția mai largă: securitatea agenților AI

O’Reilly a declarat pentru The New Stack: “Acum șase luni eram încă sceptic în privința utilității și amenințării AI în ceea ce privește capabilitatea de atac.” S-a răzgândit. “Dacă jobul tău are legătură cu responsabilitatea pentru date/privacy/securitate în organizația ta, te rog să nu continui să-ți spui ‘poate într-o zi, dar nu astăzi’ cum am făcut eu. Investește [în apărări AI] acum.”

Problema depășește OpenClaw. Pe măsură ce agenții AI câștigă capabilități executive — acces la terminal, fișiere, browsere — securitatea nu mai este doar despre bugs în cod. Este despre încredere în supply-chain și despre cine poate injecta comportamente în sistem prin “instrucțiuni.”

Marketplace-urile de extensii neverificate nu sunt doar un risc de calitate. Sunt rute de livrare pentru malware, unde popularitatea și poziționarea în topuri pot substitui validarea tehnică.

Concluzie: progres real, dar riscuri structurale persistente

Cazul OpenClaw nu este o poveste simplă de “securitate catastrofală” — proiectul a răspuns rapid la vulnerabilități, a angajat experți, a implementat patch-uri și continuă să îmbunătățească.

Dar este o ilustrare clară a provocărilor unice pe care le aduc agenții AI: combinația acces la sistem + extensii neverificate + automatizare creează suprafețe de atac noi. Patch-urile tradiționale rezolvă probleme punctuale, dar nu elimină riscul structural.

Pentru utilizatori, lecția este pragmatică: experimentați cu agenți AI, dar faceți-o într-un mediu controlat, izolat, fără date sensibile. Pentru industrie, OpenClaw demonstrează urgent nevoia de noi modele de securitate pentru software agentic — modele care să trateze extensiile ca supply-chain, nu ca simple fișiere text.

Surse:

 

Te-AI pregătit pentru ce vine?
Abonează-te la "Pulsul AI", newsletter-ul care te ține la zi cu noutățile din Inteligența Artificială. Fără hype sau panică. Doar ce contează.

Ultimele Știri

Noutăți din AI