Mac Mini za 600 – 700 Eur a máte doma vlastného AI asistenta, ktorý 24/7 číta vaše emaily, organizuje kalendár, posiela správy cez WhatsApp, tweetuje za vás a dokonca píše kód, kým spíte. Žiadny cloud, žiadne mesačné poplatky, žiadne zdieľanie dát.
OpenClaw – projekt, ktorý za tri mesiace nazberal viac ako 240 000 GitHub hviezdičiek – sa stal symbolom tohto sna. Tisíce nadšencov si kúpili Mac Mini M4, nasledovali tutoriály z YouTube a za 20 minút mali bežiaci systém napojený na Telegram, WhatsApp, iMessage, Slack, a dokonca aj na maily.
Lenže je tu problém. Väčšina týchto nadšencov si neuvedomuje, že si práve nainštalovali najväčšiu bezpečnostnú dieru vo svojej domácej sieti. A nie hocijakú.
Čo je OpenClaw a prečo je tak populárny?
OpenClaw (pôvodne Clawdbot, potom Moltbot, premenovaný v januári 2026) je open-source AI agent platforma. Nie je to chatbot — je to autonómny agent, ktorý dokáže reálne konať. Spúšťať shell príkazy, prechádzať web, spravovať súbory, písať a nasadzovať kód, automatizovať úlohy cez sto a viac pluginov („skills“).
Na Mac Mini beží tichučko pri spotrebe 5–7 wattov. Apple Silicon unified memory umožňuje súčasne prevádzkovať lokálne LLM modely cez Ollama — celý systém funguje bez cloudu za nula eur mesačne (ak nepoužívate API).
Znie to perfektne. V čom je háčik?
Bezpečnostná katastrofa v číslach
⚠ VAROVANIE: Za prvých 6 týždňov roku 2026 bolo v OpenClaw objavených viac ako 15 CVE, z toho viacero s CVSS skóre nad 8.0. Ide o bezprecedentný počet kritických zraniteľností pre projekt tohto veku.
| Zraniteľnosť | CVE | CVSS | Dopad |
|---|---|---|---|
| One-click RCE | CVE-2026-25253 | 8.8 | Plné prevzatie kontroly cez 1 klik |
| ClawJacked (WebSocket hijack) | Február 2026 | Vysoké | Lokálny agent ovládnutý cez web |
| Browser relay — cookie theft | CVE-2026-28458 | Vysoké | Krádež session cookies, XSS |
| Missing auth — browser control | CVE-2026-28485 | Vysoké | Neoprávnené privilegované operácie |
| SSRF v Gateway | CVE-2026-26322 | 7.6 | Server-side request forgery |
| Path traversal v upload | CVE-2026-26329 | Vysoké | Zápis súborov mimo sandbox |
| Log poisoning + prompt injection | Február 2026 | Stredné | Manipulácia rozhodovania AI |
| SHA-1 cache poisoning | CVE-2026-28479 | Vysoké | Sandbox escape, cross-sandbox leak |
| Auth bypass (Telnyx, Twilio) | CVE-2026-26319+ | 7.5 | Obchádzanie autentifikácie |
| Path traversal v browser API | CVE-2026-28462 | Vysoké | Malware placement, data leak |
ClawHavoc: 20 % marketplace je malvér
Ak samotné CVE nestačia, tu je niečo horšie. OpenClaw má vlastný marketplace — ClawHub — odkiaľ si používatelia sťahujú „skills“ (pluginy). Bezpečnostný výskumník Oren Yomtov z Koi Security auditoval celý register a výsledok bol šokujúci.
Z pôvodných 2 857 skills bolo 341 škodlivých — 335 z nich patrilo k jednej koordinovanej kampani s názvom ClawHavoc. Tieto skills šírili Atomic macOS Stealer (AMOS) — infostealer zameraný na krádež hesiel, cookies a kryptopeňaženiek z macOS.
K februáru 2026 narástol počet škodlivých skills na vyše 800 z 10 700+ — približne každý piaty plugin na ClawHub je malvér. Bitdefender uvádza ešte vyššie čísla, cca 900 škodlivých balíčkov.
Prečo je to tak nebezpečné? OpenClaw agent má prístup k vašim správam, súborom, shellu, prehliadáču a potenciálne ku všetkým pripojeným službám. Keď nainštalujete škodlivý skill, agent ho spustí s rovnakými oprávneniami ako všetko ostatné — a AMOS získa vaše heslá, cookies aj krypto kľúče.
30 000+ inštancií otvorených na internete
Ako keby samotné zraniteľnosti a malvér nestačili, SecurityScorecard, Censys a Bitsight zistili, že desaťtisíce OpenClaw inštancií beží otvorene na verejnom internete bez akejkoľvek autentifikácie.
Výskumník Maor Dayan identifikoval 42 665 exponovaných inštancií, z ktorých 5 194 bolo aktívne overených ako zraniteľné. Z nich 93,4 % malo bypass autentifikácie.
Honeypot dáta od Terrace Networks ukazujú, že automatizované skenovanie začalo do niekoľkých hodín od zverejnenia na Hacker News. Nejde o cielené útoky — je to masový automatizovaný bot scanning.
Anatómia útoku: Ako CVE-2026-25253 funguje
Porozumenie tomuto útoku je dôležité, pretože ilustruje fundamentálny architektonický problém OpenClaw. Nepotrebujete byť hacker — stačí kliknúť na odkaz.
Fáza 1: Exfiltrácia tokenu
OpenClaw Control UI akceptovalo parameter gatewayUrl z URL bez akejkoľvek validácie. Pri načítaní stránky sa automaticky pripojilo na zadanú adresu a odoslalo autentifikačný token v WebSocket handshake. Útočníkovi stačilo poslať vám link.
Fáza 2: Prevzatie kontroly
Útočník sa s ukradnutým tokenom pripojil k vášmu gateway cez WebSocket. Server nevalidoval origin header — akceptoval spojenie z akejkoľvek webovej stránky.
Fáza 3: Vzdialené vykonanie kódu
JavaScript na škodlivej stránke cez získaný prístup vypol sandboxing a bezpečnostné guardrails, potom spustil node.invoke pre vykonanie ľubovoľného kódu na vašom Mac Mini. Celý proces trvá milisekundy.
Dôležité: Útok funguje aj keď je OpenClaw naviazaný na localhost. Nepotrebuje byť dostupný z internetu — exploit pivotuje cez váš prehliadáč.
Prečo je to systémový problém, nie len bug
Mnohí si myslia: „Patchli to, takže je to OK.“ Nie je. OpenClaw má fundamentálny architektonický problém, ktorý žiadny patch neopraví:
- Príliš veľký blast radius: AI agent má prístup k všetkým pripojeným službám — email, správy, súbory, shell, prehliadáč. Kompromitovanie agenta = kompromitovanie všetkého.
- Bezpečnostné guardrails sú softvérové, nie architektonické: Sandbox a safety prompts boli navrhnuté proti škodlivému správaniu LLM. Proti externému útočníkovi s API prístupom sú zbytočné — dá sa ich programovo vypnúť.
- Nedôveryhodný marketplace: Ak 20 % registra je malvér, marketplace nemá funkčný schvalovací proces. A aj keď sa škodlivé skills odstránia, nové sa objavia.
- Prompt injection cez bežný obsah: Agent spracováva emaily, Slack správy, webové stránky. Útočník môže vložiť prompt injection do bežného emailu a agent ho vykoná — prepošle dáta, vykoná akcie.
- Vibe-coded ekosystém: Samotný zakladateľ priznáva, že veľká časť ekosystému (vrátane Moltbook, AI sociálnej siete pre agentov) bola „vibe-coded“ — vytvorená s AI bez dôkladného security review.
Čo ste reálne urobili, keď ste nainštalovali OpenClaw?
Keď ste podľa tutoriálu nainštalovali OpenClaw na Mac Mini a napojili ho na vaše služby, urobili ste nasledovné:
- Dali ste AI agentovi prístup k vašim správam a emailom (WhatsApp, Telegram, iMessage, Slack, email). Agent ich číta, analyzuje a môže na ne reagovať.
- Dali ste mu prístup k shellu — môže spúšťať ľubovoľné príkazy na vašom počítači.
- Dali ste mu prístup k súborom — môže čítať, písať a mazať čokoľvek na disku.
- Dali ste mu prístup k prehliadáču — vrátane vašich prihlásených sessions, cookies a hesiel v Keychain.
- Otvorili ste WebSocket port bez validácie originu, dosiežiteľný cez váš prehliadáč.
- Nainštalovali ste skills z nedôveryhodného registra, kde každý piaty plugin je malvér.
- Nastavili ste to na 24/7 bežanie s automatickým reštartom — takže aj keď sa niečo pokazilo, agent sa sám reštartuje a pokračuje.
V jazyku bezpečnosti – vytvorili ste neriadený, vysoko privilegovaný, 24/7 dostupný prístupový bod do vašej digitálnej identity, ktorý je exploitovateľný jedným klikom.
Čo robiť teraz?
Ak OpenClaw používate
- Okamžite aktualizujte na najnovšiu verziu (minimálne 2026.2.25). Každá staršia verzia má známe exploity.
- Rotujte všetky tokeny a credentials – OpenClaw gateway token, API kľúče, heslá k pripojeným službám.
- Auditujte nainštalované skills – odstráňte všetky, ktoré nepoznáte alebo nepotrebujete. Inštalujte len zo zdrojov, ktorým dôverujete.
- Skontrolujte, či vaša inštancia nie je exponovaná na internete – overte firewall, router a port forwarding pravidlá.
- Používajte izolovaný browser profil keď pracujete s Control UI. Nikdy neotvárajte nedôveryhodné stránky v tom istom prehliadáči.
- Zvážte Tailscale/WireGuard pre vzdialený prístup namiesto otvárania portov.
Ak zvažujete OpenClaw
Počkajte. Projekt je v rýchlom vývoji, ale bezpečnostný model je fundamentálne nedozretý. Keď niekoľko sekundárnych funkcií dokáže obísť sandbox a safety guardrails, ide o architektonický problém, nie o sériu náhodných bugov.
Ak to napriek tomu chcete skúsiť – bežte ho v Docker kontajneri s minimálnymi oprávneniami, bez priameho prístupu k citlivým službám, s pravidelným auditom a monitoringom. A rozhodne nie v režime „24/7 v šatníku na poličke bez dozoru“.
Širší kontext: Nová kategória rizík
OpenClaw nie je jedinečný prípad. Je symbolom novej kategórie rizík, ktorú prinášajú autonómne AI agenty. Na rozdiel od bežných aplikácií, AI agent:
- Má prístup k viacerým systémom súčasne („laterálny prístup“ by default)
- Interpretuje a vykonáva inštrukcie z nedôveryhodných zdrojov (emaily, správy, web)
- Má autoritu konať autonómne bez ľudského schválenia
- Každá ďalšia integrovaná služba zväčšuje blast radius
Toto je paradigmaticky iný bezpečnostný model ako čokoľvek, na čo sme boli zvyknutí. MITRE to rozpoznal a vytvoril ATLAS framework špecificky pre hrozby voči AI systémom. OpenClaw je prvý masový prípad, kde sa tieto teórie stali realitou.
Záver: Nadšenie nie je bezpečnostná stratégia
Nik nehovorí, aby ste prestali experimentovať s AI. Práve naopak — autonómne agenty sú budúcnosť a čím skôr ich pochopíte, tým lepšie.
Ale rozumieť technológii znamená aj rozumieť jej rizikám. A riziká OpenClaw v jeho súčasnom stave sú reálne a s velkým dopadom.
Takže ak máte Mac Mini s OpenClaw, ktorý beží 24/7 a má prístup k vašim správam, súborom a účtom – zastavte ho a preverte ho.
