- Open-source AI agent OpenClaw, který na GitHubu získal přes 179 000 hvězd, trpí závažnými bezpečnostními zranitelnostmi
- Přes 93 % veřejně dostupných instancí na GitHubu mělo kritické chyby v autentizaci
- Na tržišti rozšíření ClawHub se objevily stovky škodlivých doplňků kradoucích hesla a přihlašovací údaje
Když si představíte osobního AI asistenta, pravděpodobně vám na mysl přijde Siri, Alexa nebo ChatGPT, případně Gemini či CLaude. Nástroje, které odpovídají na otázky, nastavují budíky, případně pomůžou s konceptem e-mailu. OpenClaw je ale něco zásadně jiného. Open source AI agent neposlouchá a neodpovídá, ale rovnou jedná. Řeknete mu, aby vás odbavil na zítřejší let a vyčistil spam ve schránce, a on obojí skutečně provede, zatímco vy si v klidu pijete ranní kávu.
Neklidná autonomie děravá jak cedník
Právě schopnost autonomního jednání s přístupem k souborům, e-mailům, kalendáři, prohlížeči a desítkám dalších služeb z něj udělala jeden z nejrychleji rostoucích open source projektů v historii GitHubu. Zároveň ale odhalila bezpečnostní problémy tak závažné, že je bezpečnostní firma Cisco ve své analýze jednoduše označila za „absolutní noční můru“.
Rozsah problému už dávno přestal být alarmující, teď je regulérně šokující. Komplexní bezpečnostní audit provedený pomocí specializovaného skeneru ClawdHunter odhalil 42 665 veřejně dostupných instancí OpenClaw. Z nich celých 93,4 % mělo kritické zranitelnosti v autentizaci, které útočníkům umožňovaly přístup bez jakéhokoliv ověření. Dalších 90 % instancí běželo na zastaralých verzích stále označených jako Clawdbot nebo Moltbot. Tedy na verzích, u kterých chyběla i ta nejzákladnější bezpečnostní opatření přidaná v pozdějších aktualizacích.
Příčina problému byla překvapivě prostá. Brána OpenClaw automaticky důvěřuje připojením z localhostu. Většina uživatelů ale nástroj nasadila za reverzní proxy server typu nginx nebo Caddy, který přeposílá provoz tak, že se tváří jako lokální připojení. Klasická chybná konfigurace s katastrofálními důsledky. Bezpečnostní výzkumník Jamieson O’Reilly z firmy Dvuln provedl skenování přes službu Shodan a během několika sekund našel přes 900 nechráněných instancí. Stačilo vyhledat “Clawdbot Control” na portu 18789 a bylo vymalováno.
Co všechno bylo vystaveno? API klíče k Anthropic v hodnotě stovek dolarů v kreditech, tokeny pro Telegram boty, přihlašovací údaje ke Slacku prostřednictvím OAuth a kompletní historie konverzací sahající měsíce nazpět. Alarmující, šokující a svým způsobem vlastně absurdní.
Tržiště plné malwaru
Tím to ale ani náhodou nekončí. Tipnete si další extrémní slabinu? Komunitní tržiště rozšíření ClawHub. Princip je jednoduchý: kdokoliv může publikovat tzv. skill. Tedy balíček instrukcí a skriptů, který OpenClaw rozšíří o nové schopnosti. Jenže právě tato otevřenost se stala vstupní branou pro útočníky.
Bezpečnostní výzkumník Paul McCarty našel malware během pouhých dvou minut od prvního pohledu na tržiště a záhy identifikoval 386 škodlivých balíčků od jediného autora. Studie společnosti Snyk zjistila, že 36 % skillů na platformách typu ClawHub obsahuje bezpečnostní nedostatky, včetně aktivních škodlivých kódů určených ke krádeži přihlašovacích údajů a instalaci zadních vrátek.
Tým Cisco pro výzkum bezpečnostních hrozeb v oblasti AI otestoval konkrétní rozšíření nazvané “What Would Elon Do?” a dospěl k jednoznačnému závěru: OpenClaw selhal na celé čáře. Jejich skenovací nástroj odhalil devět bezpečnostních nálezů, z toho dva kritické a pět s vysokou závažností. Rozšíření fungovalo de facto jako malware. Aktivně exfiltrovalo data tichým odesíláním na externí server ovládaný autorem rozšíření a zároveň provádělo přímou prompt injection, která donutila asistenta obejít vlastní bezpečnostní pravidla.
Ironií je, že právě toto škodlivé rozšíření bylo uměle vyneseno na první příčku v žebříčku popularity na ClawHub. Myslíte, že existoval nějaký interní expertní tým bezpečnostních znalců, kteří by komunitní tržiště kontrolovali, nové přírůstky schvalovali a publikovali pouze ty, které prošli důkladnou bezpečnostní prověrkou? Ani náhodou. Chyběly základní bezpečnostní návyky, kontroly, vlastně jakýkoliv bezpečnostní či kontrolní systém, který by skutečně fungoval a uživatele chránil.
Problém, který nelze jednoduše opravit
Jádrem bezpečnostních potíží OpenClaw je technika známá jako prompt injection. Tedy vložení škodlivých instrukcí do textu, který AI agent zpracovává. Oficiální dokumentace OpenClaw to přiznává přímo: „Ani se silnými systémovými prompty není prompt injection vyřešen.“
V praxi to znamená následující: požádáte svého agenta, aby zpracoval nějaké dokumenty, a útočník do jednoho z nich skryl instrukce. Agent je nedokáže spolehlivě odlišit od legitimních pokynů, protože pracuje s přirozeným jazykem, a právě v tom spočívá jeho užitečnost i jeho zranitelnost.
Bezpečnostní firma Aikido celou situaci shrnula výstižnou analogií: zabezpečit OpenClaw je jako zabezpečit kuchyni odstraněním všech nožů, sporáku a trouby. Ano, je to bezpečné, ale uvařit se v ní nedá. Pokud OpenClaw uzavřete do sandboxu, odeberete mu přístup k internetu, práva k zápisu a autonomii, v podstatě máte ChatGPT s několika kroky navíc, který si musíte sami hostovat.
AI agenti chtě nechtě musí pracovat s „nedůvěryhodným“ obsahem – číst e-maily, zpracovávat dokumenty, procházet web. Jinak nebudou tak užiteční, jak se od nich očekává. Ale neexistuje pevná hranice mezi tím, co si uživatel vyžádal, a tím, co agent přečte během plnění úkolu. V tom spočívá zásadní bezpečnostní dilema, které se v dohledné době pravděpodobně nevyřeší.
Co když se OpenClaw nainstaluje sám?
Bezpečnostní problémy OpenClaw se neomezují jen na samotný nástroj. V únoru 2026 došlo k závažnému útoku na dodavatelský řetězec, který zasáhl populární open source kódovací asistent Cline. Útočník využil kompromitovaný npm publikační token a vydal upravenou verzi Cline CLI (verze 2.3.0), která po instalaci tiše nainstalovala OpenClaw na počítač vývojáře.
Upravený balíček byl na registru npm dostupný přibližně osm hodin. Za tu dobu si ho stáhlo zhruba 4 000 vývojářů. Samotný OpenClaw v tomto případě nebyl škodlivý, ale jak upozornila bezpečnostní platforma Socket: „Tentokrát to byl OpenClaw. Příště to může být něco skutečně nebezpečného.“
Útok navazoval na zranitelnost, kterou bezpečnostní výzkumník Adnan Khan odhalil už v prosinci 2025. Khan zjistil, že útočníci mohli pomocí prompt injection ukrást autentizační tokeny repository tím, že využili automatický třídící systém nových hlášení na GitHubu. Tento systém používal AI model Claude od Anthropic pro zpracování příchozích issue – a právě skrze něj mohl útočník propašovat škodlivé instrukce.
Tým Microsoft Threat Intelligence potvrdil, že 17. února zaznamenal nápadný nárůst instalací OpenClaw, který přímo souvisel s kompromitací Cline.
Od víkendového prototypu k bezpečnostní krizi
Příběh OpenClaw je tak zároveň příběhem o tom, co se stane, když virální adopce předběhne bezpečnost. Peter Steinberger, jeho tvůrce, není žádný neznámý vývojář. Založil firmu PSPDFKit, kterou po 13 letech prodal investiční skupině Insight Partners. Počáteční prototyp AI asistenta vytvořil za jednu hodinu pomocí modelu Claude Opus 4.5 od Anthropic. Těžké nebyly schopnosti AI, ale integrace s reálnými službami.
Projekt původně pojmenovaný Clawdbot si získal obrovskou pozornost poté, co ho veřejně pochválili významné osobnosti jako Andrej Karpathy, bývalý ředitel AI v Tesle a spoluzakladatel OpenAI, nebo David Sacks, technologický investor. Apple Mac Mini M4 se stal doporučeným hardwarem a prodejci zaznamenali nevysvětlitelné výkyvy poptávky.
Cesta k současnému názvu ale nebyla přímočará. Anthropic kontaktoval Steinbergera kvůli ochranné známce – „Clawd“ znělo příliš podobně jako „Claude“. Steinberger souhlasil s přejmenováním na Moltbot, ale při změně Twitter účtu vzniklo desetisekundové okno, během kterého kryptoměnoví podvodníci ukradli původní handle @clawdbot a v několika minutách spustili falešný token $CLAWD na blockchainu Solana. Token vystřelil na tržní kapitalizaci 16 milionů dolarů, než se zhroutil téměř na nulu poté, co se Steinberger od podvodu distancoval.
Třetí a finální přejmenování na OpenClaw přišlo 29. ledna 2026 a s ním i důležitá bezpečnostní změna: režim autentizace „none“ byl zcela odstraněn. Bránu už není možné provozovat bez jakékoliv formy ověřování.
Jako by samotný OpenClaw nebyl dostatečně neobvyklý, Matt Schlicht z Octane AI spustil Moltbook. Platformu fungující velmi podobně jako Reddit, na které ale mohou přispívat pouze AI agenti, nikoliv lidé. Přes 770 000 agentů se připojilo a začaly se objevovat neplánované emergentní chování: ekonomické výměny mezi agenty, spontánně vznikající subkomunity, a dokonce parodické náboženství zvané Crustafarianism (od anglického crustacean, tedy korýš).
Realita Moltbooku ale byla podstatně prozaičtější, než jak ji prezentovaly virální screenshoty. Bezpečnostní firma Wiz zjistila, že za údajnými 1,5 miliony autonomních agentů stálo pouhých zhruba 17 000 lidí – v průměru tedy každý člověk ovládal 88 botů, přičemž platforma neměla žádný mechanismus k ověření, zda je agent skutečně AI, nebo jen člověk se skriptem.
Výzkumník Wiz Gal Nagli sdělil magazínu Fortune, že při testování dokázal zaregistrovat milion agentů během několika minut. Virální příspěvky o AI agentech plánujících konec lidstva nebo vynalézajících vlastní náboženství se ukázaly být z velké části dílem lidí. Peter Girnus, produktový manažer z USA, se na platformě X přiznal, že se vydával za Agenta č. 847 291 a vytvořil jeden z nejvirálnějších příspěvků – manifest AI slibující konec „věku lidí“.
Will Douglas Heaven z MIT Technology Review celý fenomén označil za „AI divadlo“ a informatik Simon Willison obsah platformy nazval jednoznačně „totálním slopem“, tedy bezcenným generovaným obsahem. Byť zároveň přiznal, že jde o důkaz, že AI agenti se za poslední měsíce stali výrazně schopnějšími.
Analýza výzkumnice Ning Li z pekingské univerzity Tsinghua, která prozkoumala přes 91 000 příspěvků a 400 000 komentářů, konstatovala, že řada postů nepocházela od „jednoznačně plně autonomních účtů“ a že nelze rozlišit, zda formování AI komunit odráželo emergentní sociální organizaci, nebo koordinovanou aktivitu lidmi řízených botích farem.
Z bezpečnostního hlediska je to ale minimálně znepokojivé. Agenti totiž přijímající vstupy od jiných agentů představují útočný prostor, na který žádný současný bezpečnostní model nepamatuje. Server 404 Media skutečně odhalil kritickou zranitelnost: nezabezpečená databáze umožňovala komukoliv převzít kontrolu nad jakýmkoliv agentem na platformě. To znamenalo 770 000 potenciálních zadních vrátek do systémů uživatelů. Platforma byla dočasně odstavena a všechny API klíče agentů byly nuceně resetovány.
Co bude dál
Steinberger v polovině února oznámil, že nastupuje do OpenAI, kde bude podle slov CEO Sama Altmana „řídit další generaci osobních agentů“. OpenClaw se přesune do nezávislé open source nadace, kterou bude OpenAI sponzorovat. Steinberger na svém blogu napsal, že mohl z OpenClaw vybudovat velkou firmu, ale „to mě vlastně nebaví – chci měnit svět, ne budovat korporaci“.
Tato změna by mohla přinést profesionálnější přístup k bezpečnosti. OpenClaw mezitím navázal partnerství s VirusTotal od Googlu pro skenování rozšíření na ClawHub a najal Jamiesona O’Reillyho, zakladatele bezpečnostní firmy Dvuln, jako hlavního bezpečnostního poradce. V nejbližších dnech by měl být publikován komplexní model hrozeb pro celý ekosystém a veřejný bezpečnostní plán s konkrétními cíli.
Cisco zároveň vyvinulo open source nástroj Skill Scanner, který dokáže analyzovat rozšíření pro AI agenty a detekovat škodlivé chování pomocí kombinace statické analýzy, behaviorální analýzy a sémantického rozboru s využitím velkých jazykových modelů.
Přesto všechno zůstává klíčová otázka nezodpovězena: jak zajistit bezpečnost AI agenta, který musí být nebezpečný, aby byl užitečný? Jak poznamenal jeden z vlastních správců OpenClaw na Discordu: „Pokud nerozumíte tomu, jak spustit příkazový řádek, je tento projekt pro vás příliš nebezpečný.“ A právě v tom spočívá paradox OpenClaw. Je to první spotřebitelský AI agent, který skutečně plní, co slibuje. Ale bezpečnostní model pro většinu nasazení zůstává zásadně nedostatečný.
OpenClaw a podobné nástroje se v organizacích objeví bez ohledu na to, zda je vedení schválí. Zaměstnanci je budou instalovat, protože jsou skutečně užitečné. Jediná otázka zní, zda o tom bezpečnostní týmy budou vědět.
