OpenClaw: od 250 000 GitHub stars k bezpečnostní krizi za tři týdny
Nejrychleji rostoucí open-source projekt v historii má vážný problém — 12 % skills v jeho marketplace je malware. Čína ho zakázala, bezpečnostní výzkumníci bijí na poplach.
Představte si, že nainstalujete rozšíření do svého AI asistenta — a to rozšíření vám tiše krade hesla, soubory a API klíče. Přesně to se stalo tisícům uživatelů OpenClaw, nejrychleji rostoucího open-source projektu v historii.
OpenClaw — AI agent, který ovládá váš počítač, spravuje soubory, posílá emaily a automatizuje workflow — překonal 250 000 GitHub stars za pár týdnů. Překonal React, překonal Linux. A pak se ukázalo, že jeho ekosystém má zásadní bezpečnostní problém.
Anatomie krize
Všechno začalo ClawHub — marketplace, kde uživatelé sdílejí „skills" (pluginy rozšiřující schopnosti OpenClaw). Bezpečnostní výzkumníci odhalili kampaň ClawHavoc: ze 2 857 skills v registru jich 341 obsahovalo malware. To je 12 % celého marketplace.
Situace se rychle zhoršovala. Do března 2026 číslo narostlo na více než 1 184 potvrzených škodlivých skills z 10 700+ balíčků. Hlavní payload? Atomic macOS Stealer (AMOS) — malware specializovaný na krádeže hesel a kryptopeněženek z macOS.
Zranitelnost, která otevřela dveře
K tomu přišla kritická zranitelnost CVE-2026-25253 (CVSS 8.8) — one-click remote code execution chain, která fungovala i na instancích běžících lokálně. Stačilo jedno kliknutí na škodlivý skill a útočník měl přístup k celému systému.
Scanningové týmy (Censys, Bitsight, Hunt.io) identifikovaly více než 30 000 instancí OpenClaw vystavených na internet — mnohé běžící bez jakékoli autentizace. Když AI agent s přístupem k vašim souborům, emailům a API klíčům běží bez hesla na veřejné IP adrese, není otázka jestli dojde k průniku, ale kdy.
Geopolitická dimenze
Čína zakázala OpenClaw ve státních agenturách a státních podnicích s odůvodněním bezpečnostních rizik. Ironicky — OpenClaw vytvořil rakouský vývojář Peter Steinberger, ale projekt se masivně rozšířil v Číně, kde vznikla většina škodlivých skills.
NVIDIA reagovala vlastní verzí, která řeší bezpečnost na architekturní úrovni. OpenClaw samotný v březnu vydal verzi v2026.2.26 s opravami — hardened session management, HSTS headers, a oprava ClawJacked exploitu.
Systémový problém, ne izolovaný incident
OpenClaw je první velká bezpečnostní krize éry AI agentů — ale nebude poslední. Problém není v konkrétním projektu, ale v modelu: open-source marketplace se skill pluginy, které mají přístup k celému systému uživatele, bez dostatečného code review a bez sandboxingu.
Je to npm supply chain attack problém znásobený o řád. Když škodlivý npm balíček kradl tokeny, dopad byl omezený. Když škodlivý skill AI agenta krade hesla, čte emaily a přistupuje k API, dopad je katastrofální.
Verified Skill Screening, který OpenClaw nasadil po krizi, je krok správným směrem. Ale 12 % kompromitovaného marketplace není problém, který vyřeší lepší review — je to architektonický problém, který vyžaduje sandboxing, granulární permissions a zero-trust přístup k tomu, co skill smí a nesmí.
Pro vývojáře a firmy, které AI agenty používají nebo zvažují: OpenClaw je varování. Ne že by AI agenty neměli používat — ale že éra „nainstaluj skill a doufej" právě skončila.
Zdroje
- OpenClaw: The AI Agent Security Crisis Unfolding Right Now
- OpenClaw: 2026's First Major AI Agent Security Crisis, Explained
- OpenClaw Explained: The Free AI Agent Tool Going Viral
- China's OpenClaw AI agent goes viral, raising cybersecurity fears
- OpenClaw Went from Viral AI Agent to Security Crisis in Just Three Weeks