Blogi i artykuły

⚠️ OpenClaw: Dlaczego eksperci ds. cyberbezpieczeństwa zalecają założenie, że doszło do naruszenia bezpieczeństwa
08 avril 2026
Autor Peter Senn
#OpenClaw #cyberbezpieczeństwo #agenci AI #CVE #Docker #bezpieczeństwo MŚP #ClawHub #luka w zabezpieczeniach #łańcuch dostaw #eskalacja uprawnień
  • Mis à jour le:

    • ⚠️ OpenClaw: Dlaczego eksperci ds. cyberbezpieczeństwa zalecają założenie, że doszło do naruszenia bezpieczeństwa

    🔄 Aktualizacja 20 kwietnia 2026 — Minimalna zalecana wersja to obecnie OpenClaw ≥ 2026.4.14 (a nie 2026.3.28). Pakiet poprawek z kwietnia 2026 dodał co najmniej 13 nowych CVE, w tym CVE-2026-35639 (CVSS 8.7), CVE-2026-34511 (OAuth PKCE), CVE-2026-35636 (przejęcie sessionId) i CVE-2026-40037 (SSRF cross-origin). Tempo publikacji CVE nie zwalnia — postawa „zakładaj, że zostałeś skompromitowany" pozostaje bardziej aktualna niż kiedykolwiek.
     
    Aktywne ostrzeżenie: Niniejsze ostrzeżenie dotyczy wszystkich wersji OpenClaw starszych niż 2026.4.14. Jeśli jeszcze nie zaktualizowałeś, traktuj swoje środowisko jako potencjalnie skompromitowane.

    OpenClaw (wcześniej Clawdbot, a następnie Moltbot, przemianowany w styczniu 2026) to framework agenta AI open source, który umożliwia asystentowi AI działanie w imieniu użytkownika – pliki, Slack, Discord, Telegram, zakupy online – przy użyciu własnych dostępów i uprawnień. Uruchomiony w listopadzie 2025 roku, osiągnął 347 000 gwiazdek GitHub w mniej niż sześć miesięcy. W ciągu pięciu miesięcy również powiązano z nim 138 luk CVE – w tym 7 krytycznych, 49 o wysokiej ważności. Jeśli Ty lub Twój zespół korzystacie z OpenClaw, stanowisko zalecane przez ekspertów jest jednoznaczne: załóż, że doszło do naruszenia bezpieczeństwa.

    Kluczowe punkty do zapamiętania

    • CVE-2026-25253 (CVSS 8.8): RCE za pomocą 1 kliknięcia przez WebSocket, 35,4% obserwowanych wdrożeń podatnych na RCE
    • CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9): kontrola administratora bez poświadczeń
    • 12% umiejętności ClawHub złośliwych w lutym 2026 (341 z 2 857) – ponad 824 aktywnych na dzień 3 kwietnia 2026 (kampania ClawHavoc)
    • Ponad 135 000 narażonych instancji w 82 krajach, w tym 63% bez uwierzytelniania (SecurityScorecard STRIKE, luty 2026)
    • Microsoft odradza wdrażanie na stanowiskach zawierających dane wrażliwe (19.02.2026)
    • Minimalna zalecana wersja: 2026.3.28

    Czym jest OpenClaw?

    OpenClaw (wcześniej Clawdbot, a następnie Moltbot – trzy kolejne nazwy w styczniu 2026) to framework agenta AI open source, który umożliwia asystentowi AI automatyzację działań w imieniu użytkownika – dostęp do plików lokalnych i sieciowych, wiadomości Slack i Discord, zarządzanie Telegramem, transakcje online, wykonywanie zadań w usługach zewnętrznych – przy użyciu tych samych praw i poświadczeń co użytkownik.

    Uruchomiony w listopadzie 2025 roku, OpenClaw osiągnął 347 000 gwiazdek GitHub w mniej niż sześć miesięcy. Jego popularność jest wirusowa. Jego model bezpieczeństwa jest zasadniczo kruchy: agent ma takie same prawa jak użytkownik, podłączony do wszystkich jego usług. Luka nie narusza izolowanego komponentu – narusza wszystko, do czego agent miał dostęp.

    Oś czasu incydentów (listopad 2025 – kwiecień 2026)

    Data Incydent Ważność
    Listopad 2025 Uruchomienie OpenClaw (ex-Clawdbot, następnie Moltbot, przemianowany na OpenClaw w styczniu 2026), wirusowa adopcja – 347 000 ⭐ GitHub
    29 stycznia – 3 lutego 2026 CVE-2026-25253 (CVSS 8.8): RCE za pomocą 1 kliknięcia przez lokalny WebSocket. Patch v2026.1.29 opublikowany 29 stycznia 2026; publiczne ujawnienie 3 lutego 2026. 35,4% obserwowanych wdrożeń podatnych na RCE. 🔴 Krytyczne
    Luty 2026 Kampania ClawHavoc (Koi Security): 341 złośliwych umiejętności na 2 857 audytowanych (12%) – keyloggery i credential stealery 🔴 Krytyczne
    19 lutego 2026 Microsoft Security Blog: oficjalny przewodnik odradzający wdrażanie na stanowiskach zawierających dane wrażliwe 🟠 Ostrzeżenie
    Marzec 2026 CVE-2026-22172 (CVSS 9.9): samodzielne deklarowanie zakresów administratora przez WebSocket – wszystkie wersje starsze niż 2026.3.12 🔴 Krytyczne
    19 marca 2026 CVE-2026-32038: obejście izolacji sieci Docker przez network=container:. Naprawione w OpenClaw 2026.2.24 🔴 Krytyczne
    13-29 marca 2026 CVE-2026-32922 (CVSS 9.9): eskalacja przez device.token.rotate. Patch v2026.3.11 opublikowany 13 marca; publikacja CVE 29 marca. Ponad 135 000 narażonych instancji w 82 krajach, 63% bez uwierzytelniania (SecurityScorecard STRIKE, luty 2026; przejęte przez ARMO, marzec 2026) 🔴 Krytyczne
    3 kwietnia 2026 Ars Technica: "Assume compromise" – 3 nowe luki o wysokiej i krytycznej ważności, w tym CVE-2026-33579 (CVSS do 9.8). Ponad 824 aktywnych złośliwych umiejętności 🔴 Krytyczne

    138 luk CVE śledzonych między lutym a kwietniem 2026 – w tym 7 krytycznych i 49 o wysokiej ważności (tracker GitHub jgamblin/OpenClawCVEs; analiza przejęta przez Blink Security, kwiecień 2026)

    5 głównych odszyfrowanych luk

    CVE-2026-25253 – Zdalne wykonanie kodu za pomocą 1 kliknięcia (CVSS 8.8)

    RCE (Remote Code Execution): luka umożliwiająca zdalnemu atakującemu wykonanie dowolnego kodu na maszynie docelowej, bez fizycznego dostępu ani interakcji użytkownika poza prostą wizytą na złośliwej stronie internetowej.

    Luka wykorzystuje bramę WebSocket OpenClaw (port 18789 domyślnie, niewystarczająca walidacja źródła). Prosta wizyta na spreparowanej stronie wystarczyła, aby naruszyć bezpieczeństwo maszyny. 35,4% obserwowanych wdrożeń było podatnych na RCE (SecurityScorecard STRIKE, luty 2026). Patch v2026.1.29 został opublikowany 29 stycznia 2026, czyli 5 dni przed publicznym ujawnieniem 3 lutego 2026 (ProArch Security, marzec 2026).

    CVE-2026-22172 – Deklaracja administratora przez WebSocket (CVSS 9.9)

    Klienci WebSocket mogli samodzielnie deklarować zakresy administratora, całkowicie omijając uwierzytelnianie. Dotyczy wszystkich wersji starszych niż 2026.3.12.

    CVE-2026-32038 – Obejście izolacji sieci Docker (naprawione w OpenClaw 2026.2.24)

    Za pomocą parametru network=container: agent uzyskiwał dostęp do przestrzeni nazw sieci innych kontenerów – bazy danych, usług wewnętrznych, prywatnych interfejsów API. Wymagało wcześniejszego dostępu zaufanego operatora.

    CVE-2026-32922 – Eskalacja przez device.token.rotate (CVSS 9.9)

    Ponad 135 000 instancji narażonych w Internecie w 82 krajach – w tym 63% bez uwierzytelniania (SecurityScorecard STRIKE, luty 2026; przejęte przez ARMO Security, marzec 2026)

    Funkcja device.token.rotate nie ograniczała zakresów generowanych nowych tokenów. Atakujący z najniższym poziomem uprawnień uzyskiwał pełną kontrolę administratora. Patch został opublikowany w wersji 2026.3.11 13 marca 2026; CVE zostało opublikowane na cve.org 29 marca 2026.

    CVE-2026-33579 – Eskalacja przez /pair approve (CVSS do 9.8)

    Polecenie /pair approve nie przekazywało zakresów bezpieczeństwa wnioskodawcy w centralnej weryfikacji autoryzacji. Załatane w wersji 2026.3.28. Oficjalny wynik CVSS nie został jeszcze opublikowany przez NVD w dniu publikacji tego artykułu; wynik „do 9.8” jest raportowany przez Ars Technica i Blink Security (kwiecień 2026).

    Łańcuch dostaw ClawHub: ponad 824 aktywne złośliwe umiejętności

    Credential stealer: złośliwe oprogramowanie, które cicho przechwytuje i eksfiltruje poświadczenia uwierzytelniające – tokeny OAuth, klucze API, zmienne środowiskowe – do serwerów kontrolowanych przez atakującego, bez żadnych widocznych działań użytkownika.

    W lutym 2026 roku badacze z Koi Security wykryli kampanię ClawHavoc: umiejętności rozpowszechniane za pośrednictwem oficjalnego ClawHub, przebrane za narzędzia produktywności (Gmail, Notion, Slack, GitHub), zawierające złośliwy kod.

    Kluczowe dane (Koi Security, luty 2026): 341 zidentyfikowanych złośliwych umiejętności na 2 857 audytowanych (12%), w tym 335 przypisanych do tej samej kampanii ClawHavoc. Liczba ta od tego czasu wzrosła: ponad 824 aktywne złośliwe umiejętności wymienione na dzień 3 kwietnia 2026 (Blink Security, kwiecień 2026), w tym keyloggery i credential stealery ukierunkowane na tokeny OAuth, klucze API i zmienne środowiskowe.

    Docker i VM: niewystarczająca ochrona

    Wektor ataku Sam Docker Dedykowana VM Docker + 5 flag
    CVE-2026-25253 (RCE WebSocket) ⚠️ Częściowo
    CVE-2026-32038 (przestrzeń nazw sieci) ❌ przed OpenClaw 2026.2.24
    CVE-2026-22172 (automatyczny zakres administratora)
    CVE-2026-32922 (device.token.rotate)
    Złośliwe umiejętności ClawHub ⚠️ Częściowo ⚠️ Częściowo
    Wykorzystanie jądra (wspólne jądro)
    Microsoft Security Blog (19.02.2026): „Środowisko uruchomieniowe może przyjmować niezaufany tekst, pobierać i wykonywać umiejętności z zewnętrznych źródeł oraz wykonywać działania z przypisanymi do niego poświadczeniami – bez równoważnych kontroli tożsamości, zarządzania danymi wejściowymi lub zakresu uprawnień. (...) Jeśli organizacja ustali, że OpenClaw musi zostać oceniony, powinien zostać wdrożony tylko w całkowicie izolowanym środowisku – dedykowana VM, nieuprzywilejowane poświadczenia, ograniczony dostęp do danych niewrażliwych, ciągłe monitorowanie i plan odbudowy.”
    Microsoft Security Blog, 19 lutego 2026

    Do zapamiętania: Docker zmniejsza promień uderzenia. Nie gwarantuje niewrażliwości. Kontener Docker współdzieli jądro hosta – luka w jądrze narusza bezpieczeństwo wszystkich kontenerów na maszynie. Docker omija reguły UFW, modyfikując iptables bezpośrednio – zapora VM nie chroni domyślnie kontenerów.

    Co należy teraz zrobić

    Obowiązkowe aktualizacje

    • Zaktualizuj do OpenClaw 2026.3.28 minimum (zamyka CVE-2026-33579)
    • CVE-2026-32922 jest już naprawione od OpenClaw 2026.3.11 (13 marca 2026)
    • OpenClaw ≥ 2026.2.24 zamyka CVE-2026-32038

    5 obowiązkowych flag Docker do wzmocnienia

    docker run \
  --user nobody \
  --read-only \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  # Nigdy NIE montuj gniazda Docker (/var/run/docker.sock)

    Zapora i sieć

    • Skonfiguruj UFW za pomocą łańcuchów iptables DOCKER-USER (standardowe reguły UFW nie mają zastosowania do kontenerów)
    • Zablokuj port 18789 w publicznej ekspozycji
    • Powiąż bramę WebSocket tylko z 127.0.0.1 (nigdy 0.0.0.0)

    Audyt i odwołanie

    • Przeprowadź audyt każdej umiejętności zainstalowanej z ClawHub między listopadem 2025 a końcem lutego 2026
    • Odwołaj i wygeneruj ponownie wszystkie tokeny i klucze API podłączone do OpenClaw
    • Traktuj każdą przeszłą sesję jako potencjalnie naruszoną

    FAQ – Często zadawane pytania dotyczące bezpieczeństwa OpenClaw

    Czy aktualizacja do 2026.3.28 wystarczy, aby być chronionym?

    Patch naprawia luki znane na dzień 3 kwietnia 2026. Nie naprawia tego, co potencjalnie wydarzyło się podczas tygodni ekspozycji. Jeśli OpenClaw był w produkcji przed patchem, zalecane stanowisko pozostaje: odwołać wszystkie tokeny, zresetować wszystkie poświadczenia, traktować środowisko jako potencjalnie naruszone.

    Czy Docker chroni mnie przed lukami OpenClaw?

    Nie, nie całkowicie. CVE-2026-25253 (RCE WebSocket) i CVE-2026-22172 (zakres administratora) nie są łagodzone przez samego Dockera. CVE-2026-32038 omijał konkretnie izolację sieci Docker. 5 flag wzmocnienia musi być zastosowanych oprócz aktualizacji do 2026.3.28.

    Ile instancji OpenClaw jest narażonych w Internecie?

    Według danych dotyczących bezpieczeństwa z lutego 2026 roku, ponad 135 000 instancji OpenClaw jest narażonych w Internecie w 82 krajach. Wśród nich 63% działa bez uwierzytelniania (SecurityScorecard STRIKE, luty 2026; przejęte przez ARMO Security, marzec 2026) – co oznacza, że każdy odwiedzający sieć może zażądać dostępu do parowania bez podawania poświadczeń.

    Co zrobić, jeśli zainstalowałem umiejętności z ClawHub przed marcem 2026?

    Przeprowadź audyt każdej umiejętności zainstalowanej między listopadem 2025 a końcem lutego 2026. Umiejętności przebrane za narzędzia produktywności (Gmail, Notion, Slack, GitHub) są szczególnie podejrzane. W razie wątpliwości: odinstaluj umiejętność, odwołaj wszystkie poświadczenia, do których OpenClaw miał dostęp, wygeneruj ponownie powiązane klucze API.

    Czy OpenClaw może być używany w bezpieczny sposób w przedsiębiorstwie?

    Microsoft Security Blog (19.02.2026): „Nie jest właściwe uruchamianie go na standardowym stanowisku osobistym lub firmowym. Jeśli organizacja ustali, że OpenClaw musi zostać oceniony, powinien zostać wdrożony tylko w całkowicie izolowanym środowisku – dedykowana VM, nieuprzywilejowane poświadczenia, dostęp tylko do danych niewrażliwych, ciągłe monitorowanie i plan odbudowy.”

    Czy problem jest specyficzny dla OpenClaw, czy strukturalny dla agentów AI?

    Problem jest strukturalny. Agent AI działający z szerokimi uprawnieniami użytkownika, podłączony do wielu usług, tworzy wyjątkową powierzchnię ataku. Luka nie narusza izolowanego komponentu – narusza wszystko, do czego agent miał dostęp. OpenClaw jest przypadkiem podręcznikowym, a nie wyjątkiem. Obecny model „jeden agent, szeroki dostęp do wszystkiego” jest zasadniczo kruchy.

    Jakie są wskaźniki naruszenia bezpieczeństwa, które należy monitorować?

    Nietypowa aktywność na kontach Slack, Discord, Telegram lub GitHub; tokeny OAuth odwołane lub wygenerowane ponownie bez Twojej interwencji; nowe aktywne sesje w usługach, do których OpenClaw miał dostęp; pliki utworzone, zmodyfikowane lub usunięte bez identyfikowalnej akcji; wychodzące żądania sieciowe do nieznanych domen z serwera hostującego OpenClaw.

    Masz wątpliwości co do swojego stanu bezpieczeństwa w obliczu agentów AI?
    Nasi eksperci Bexxo mogą pomóc w audycie lub dostosowaniu.
    → Skontaktuj się z nami na bexxo.ch

    Źródła

    Szukaj artykułu

    Kategorie

    Agenci AI
    Alerty bezpieczeństwa
    Cyberbezpieczeństwo

    Tags

    #CVE #ClawHub #Docker #OpenClaw #agenci AI #bezpieczeństwo MŚP #cyberbezpieczeństwo #eskalacja uprawnień #luka w zabezpieczeniach #łańcuch dostaw

    Najczęściej oglądane

    ⚠️ OpenClaw: Dlaczego eksperci ds. cyberbezpieczeństwa zalecają założenie, że doszło do naruszenia bezpieczeństwa
    ⚠️ OpenClaw: Dlaczego eksperci ds. cyberbezpieczeństwa zalecają założenie, że doszło do naruszenia bezpieczeństwa 08 avr. 2026
    Informacje prezentowane na CVE Find pochodzą z kilku starannie wybranych źródeł referencyjnych. Dane CVE są dostarczane przez MITRE Corporation i Narodową Bazę Podatności (NVD). Katalog znanych eksploatowanych podatności (KEV) pochodzi z Agencji ds. Bezpieczeństwa Cyberprzestrzeni i Infrastruktury (CISA), natomiast wyniki EPSS pochodzą z FIRST.org. Ponadto dane dotyczące słabości oprogramowania (CWE) i typowych wzorców ataków (CAPEC) są utrzymywane przez MITRE Corporation, a informacje o konfiguracjach sprzętu i oprogramowania (CPE) są dostarczane przez NVD.