OpenClaw mám rád. Používám ho denně. Ale bezpečnostní situace je natolik špatná, že si myslím, že každý uživatel musí pochopit, co se děje, a podniknout konkrétní kroky k ochraně. Tohle není strašení. Jsou to reálné CVE, reálné útoky a reálná exfiltrace dat, které se dějí právě teď.

CVE-2026-25253: One-click vzdálené spuštění kódu. Tohle je nejhorší. WebSocket rozhraní OpenClaw nevalidovalo origin header, což znamenalo, že jakákoli webová stránka, kterou jste navštívili, se mohla připojit k vašemu běžícímu agentovi a spouštět příkazy. Otevřete škodlivou stránku, ta se připojí k vaší lokální OpenClaw instanci a útočník má přístup k shellu vašeho stroje přes vašeho agenta. SecurityScorecard našel 135 000 exponovaných instancí. Zamyslete se nad tím číslem.

CVE-2026-27646: Únik ze sandboxu. Zveřejněno 23. března 2026, postihuje všechny verze před 2026.3.7. Endpoint /acp spawn se dal použít k prolomení jakýchkoli sandboxových omezení a spuštění libovolného kódu s plnými oprávněními OpenClaw procesu. Pokud jste se spoléhali na omezený sandboxing OpenClaw nebo dokonce OpenShell od NemoClaw, tohle ho obešlo.

CVE-2026-26322: Server-side request forgery. Nástroj Gateway měl SSRF zranitelnost s CVSS skóre 7.6. Útočník ho mohl použít ke skenování interních sítí, volání interních API a přístupu ke službám, které by nikdy neměly být zvenku dosažitelné. Pokud byla vaše OpenClaw instance na firemní síti, dala se použít jako odrazový můstek.

Od 27. ledna 2026 začali výzkumníci sledovat koordinovanou útočnou kampaň na ClawHub, tržiště skills. Našli přes 1 184 škodlivých skills nahraných přes více účtů. Kampaň používala několik technik:

Postupné stahování. Skill vypadá zpočátku neškodně. Dělá, co tvrdí. Ale po prodlevě nebo určitém počtu použití stáhne payload druhé fáze, který způsobí skutečné škody.

Reverse shelly přes Python. Mnoho škodlivých skills obsahovalo obfuskovaný Python kód, který otevřel reverse shell zpět na servery řízené útočníkem. Po připojení měl útočník interaktivní přístup k stroji oběti.

Přímé krádeže dat. Některé skills prostě okamžitě exfiltrovaly zajímavé soubory. SSH klíče, úložiště přihlašovacích údajů prohlížeče, proměnné prostředí s API klíči.

Cílení na macOS. Podmnožina skills nasadila payload Atomic Stealer specificky na macOS. Tahle věc sbírá přihlašovací údaje prohlížeče, data z Klíčenky, SSH klíče a soubory kryptoměnových peněženek. Pokud jste provozovali OpenClaw na Macu s hot krypto peněženkou, tohle bylo specificky navržené k jejímu vyprázdnění.

Sociální inženýrství v README souborech. Některé škodlivé skills měly falešné sekce "Prerequisites" v README souborech, které říkaly uživatelům, aby spustili shellové příkazy jako součást nastavení. Tyto příkazy instalovaly backdoory.

MITRE publikoval ATLAS vyšetřování kampaně. Bezpečnostní blog Microsoftu vydal příspěvek doporučující organizacím zacházet s OpenClaw jako s "nedůvěryhodným spouštěním kódu s perzistentními přihlašovacími údaji." To je odsuzující hodnocení od dvou velkých bezpečnostních výzkumných skupin.

Tady je konkrétní seznam. Udělejte všechno z toho.

Aktualizujte na verzi 2026.3.7 nebo novější. Tím se opraví CVE-2026-27646 a CVE-2026-25253. Pokud jste na starší verzi, jste zranitelní vůči one-click RCE. Aktualizujte dnes.

Bindujte na localhost. Změňte bind adresu Canvas Host z 0.0.0.0 na 127.0.0.1. Tím zabráníte útokům ze sítě na WebSocket a webové rozhraní.

Spouštějte v izolovaném VM. Nespouštějte OpenClaw na svém hlavním vývojářském stroji s přístupem ke všemu. Použijte dedikované VM nebo kontejner pouze se soubory a síťovým přístupem, které agent skutečně potřebuje. Pokud se agent kompromituje, blast radius zůstane uvnitř VM.

Prověřte každý ClawHub skill před instalací. Přečtěte si zdrojový kód. Zkontrolujte, k jakým souborům přistupuje, jaké síťové volání dělá, jaké shellové příkazy spouští. Podívejte se na další skills od autora. Pokud něco vypadá podezřele, neinstalujte to.

Používejte dedikované přihlašovací údaje. Nedávejte OpenClaw své osobní API klíče ke službám. Vytvořte dedikované klíče s minimálními oprávněními, omezené jen na to, co agent potřebuje. Pokud se přihlašovací údaje agenta ukradnou, útočník dostane omezený přístup místo vašeho plného účtu.

Monitorujte odchozí síťový provoz. Sledujte, kam se vaše OpenClaw instance připojuje. Neočekávaná spojení na neznámé IP adresy nebo domény jsou varovný signál. Nástroje jako Little Snitch na macOS nebo logování iptables na Linuxu můžou pomoct.

Zvažte NemoClaw. Pokud jste na Linuxu, OpenShell sandbox, default-deny síťování a Privacy Router od NemoClaw řeší většinu těchto problémů architekturálně. Je to alpha software s vlastními omezeními, ale bezpečnostní postoj je výrazně lepší než holý OpenClaw.

Nic z toho neznamená, že byste OpenClaw neměli používat. Funkčnost je opravdu užitečná. Ale výchozí bezpečnostní postoj předpokládá úroveň důvěry, kterou si ekosystém zatím nezasloužil. Tržiště s více než tisícem škodlivých pluginů není tržiště, kterému můžete slepě věřit.

Zacházejte se svým OpenClaw agentem tak, jako byste zacházeli s jakýmkoli procesem spouštějícím nedůvěryhodný kód: izolujte ho, omezte jeho oprávnění, monitorujte jeho chování a nedávejte mu přístup k ničemu, o co si nemůžete dovolit přijít.