Védtelen intelligencia
A behatolóknak szinte semmi dolguk nem volt: az OpenClaw az adatokat titkosítás nélkül, egyszerű szöveges fájlokban tárolta a felhasználó gépén, amelyhez a támadó könnyedén hozzáfért. Nem kellett máshonnan adatot kimenteni; a sérülékeny rendszer már mindent egy helyen összegyűjtött. Súlyosbította a helyzetet, hogy semmiféle központi vállalati vészleállító vagy jogosultságkezelés sem létezik, sőt a cégek többsége azt sem tudja, hány példány fut a rendszereikben.
Az OpenClaw lokálisan, telepítés után teljes hozzáférést kap a gép fájlrendszeréhez, hálózati kapcsolatain keresztül a böngészőkhöz és a telepített alkalmazásokhoz. Bár a platform kiemelkedő sebességgel terjed, az ehhez kapcsolódó biztonsági rések nincsenek megfelelően feltérképezve. Négy biztonsági szoftvergyártó is megpróbált fellépni, de egyikük sem oldotta meg a legnagyobb hiányosságot: a natív, központi vészleállító-kapcsoló még mindig nem létezik.
Az OpenClaw fenyegetési térképe számokban
Friss becslés szerint március végén közel félmillió OpenClaw-példány volt elérhető az interneten. A gyors szkennelések során 30 ezer olyan példányt azonosítottak, amely potenciális biztonsági kockázatot jelent, ebből 15 200 távolról kihasználható ismert sebezhetőségeken keresztül. Három magas kockázatú, 8,8-as CVSS-pontszámú sérülékenység ismert jelenleg – ezek mindegyikét foltozták, ám az OpenClaw továbbra sem kínál központosított javítást vagy vészleállítást. Ezeket manuálisan, egyenként kell frissíteni, amire a rendszergazdák döntő többsége nem képes.
Közben a másik oldal sem nyugodhat. A CrowdStrike Falcon szenzorai közel 160 millió MI-példányt figyeltek meg vállalati gépeken – köztük olyanokat is, amelyeket a felhasználók indítottak el saját szakállukra, teljesen láthatatlanul. A ClawHub fejlesztői platformon terjesztett „gonosz” ClawHavoc skill önálló tananyag lett a támadások elemzésére szakosodott OWASP-toplistán is; az első komoly MI-ellátási lánctámadásként került az RSAC 2026 konferencia középpontjába.
Láthatatlan ügynökök és a hiányzó ellenőrzés
A vállalati védelmi rendszerek gyakran már az első lépésnél buknak el: a biztonsági csapatok egyszerűen nem képesek nyomon követni, mely MI-eszközök futnak a hálózatukban. Ezekből leszereltnek hitt, de továbbra is aktívan futó ügynökök, úgynevezett „szellemügynökök” maradnak a céges gépeken, hitelesítő adatokkal, jogosultságokkal és személyes adatokkal együtt. Ezek kiváló célpontot jelentenek a támadóknak. Más megközelítésben mielőbb szemléletváltásra lenne szükség, hogy minden MI-ügynök legalább HR-jellegű figyelmet kapjon – követni kellene toborzásukat, munkavégzésüket, eltávolításukat.
Első vállalati lépések: Cisco, Palo Alto Networks, Cato
A Cisco új, ingyenesen elérhető védelmi eszközökkel, például a Skills Scannerrel, az MCP Scannerrel és a CodeGuard csomaggal gyors reakciót adott. Ezeket az NVIDIA OpenShell futtatókörnyezetébe integrálva automatikus biztonsági ellenőrzést kínálnak minden egyes MI-ügynök aktiválásakor. Az Agent Registry segít azonosítani és hitelesíteni az MI-ügynököket, míg a DefenseClaw keretrendszer közel 200 támadási módszert szimulál.
A Palo Alto Networks saját fejlesztésű Prisma AIRS 3.0 platformján kötelezővé tette az MI-ügynökök regisztrációját, és bevezette a hitelesítési ellenőrzéseket, valamint a folyamatos, memóriaszintű monitorozást is. A Koi nevű startup felvásárlásával még nagyobb rálátást kívánnak elérni az ügynökök ellátási láncára.
A Cato Networks a Cato CTRL kutatócsapat segítségével konkrét támadási bizonyítékot mutatott fel: egy OpenClaw-példány eladásának és az ezzel járó fenyegetésnek részletes elemzését publikálta, amely rámutat, hogyan válhatnak érzékennyé a vállalati rendszerek egyetlen nem ellenőrzött MI-ügynök miatt.
Hétfő reggeli teendők – Gyors reagálás a káosz közepén
A legfontosabb aktuális lépések a vállalatoknak:
– Azonnal zárni kell az OpenClaw internetes elérhetőségét, csak helyi hálózaton legyen futtatható.
– Csak ellenőrzött alkalmazások telepítését engedélyezni.
– Minden gépen, ahol OpenClaw fut, az összes hitelesítő adatot szükséges lecserélni.
– Az MI-ügynökök által érintett fiókoknál a legkisebb jogosultság elve szerint kell eljárni.
– Folyamatosan fel kell térképezni, hol fut az OpenClaw: speciális szenzorok hiányában legalább az ismert helyi könyvtárakat kell keresni.
– A nem frissíthető vagy hiányosan javított példányokat külön hálózati szegmensbe kell zárni.
– Minden skill telepítését érdemes átvilágítani, csak megbízható forrásból származó bővítményt tartani.
– A DLP- és ZTNA-szabályokat szigorúan érvényesíteni.
Továbbra is igaz: ha nincs átfogó leállító- vagy karanténmechanizmus, a fenti folyamatokat kell gyakorolni, hetente ismételve, amíg nem születik átfogóbb vállalati vészleállító.
