तुमने OpenClaw इसलिए install किया क्योंकि ऑफिस में कोई colleague इसकी तारीफ़ करते नहीं थक रहा था। एक AI agent — एक प्रोग्राम जो तुम्हारे कंप्यूटर पर बिना हर बटन दबाए tasks चलाता है — तुम्हारी files, emails, और calendar manage कर रहा था। तुमने इसे shell access दे दिया (यानी operating system पर directly commands चलाने की permission)। सब कुछ smooth लग रहा था। Automated. शांत।
किसी ने ये नहीं बताया कि जो चीज़ तुम्हारे laptop पर commands चला रही है, उसका security model 2014 के किसी बिना moderation वाले app store जैसा है। कोई भी एक हफ़्ते पुराने GitHub account से "skill" — एक plugin जो OpenClaw की capabilities बढ़ाता है — ClawHub पर upload कर सकता था। ClawHub यानी official marketplace। कोई review नहीं। कोई scanning नहीं। कोई signature नहीं। बस vibes।
27 मार्च, 2026 को OpenClawd ने एक security update ship किया जिसमें verified skill screening और runtime sandboxing थी — isolated containers जो plugins को अपने box के बाहर कुछ भी छूने से रोकते हैं। ये आठ हफ़्ते बाद आया, जब Koi Security के researchers ने पाया कि ClawHub की 2,857 skills में से 341 malware थीं। यानी 11.9%। लगभग हर आठ में से एक।
Timeline देखो। 30 जनवरी को OpenClaw ने CVE-2026-25253 patch किया — एक vulnerability (इतनी गंभीर security flaw कि उसे official tracking number मिला) जिसकी severity scale पर rating 10 में से 8.8 थी। इस flaw से attacker एक single link बना सकता था, जिस पर click करते ही तुम्हारा authentication token (वो digital key जो prove करती है कि तुम तुम हो) चोरी हो जाता और उसे full remote code execution मिल जाता — यानी तुम्हारी machine पर कोई भी command चलाने की ताक़त, जैसे वो ख़ुद तुम्हारे keyboard पर बैठा हो।
तीन दिन पहले, 27 जनवरी को, ClawHub पर पहली malicious skill पहले ही आ चुकी थी। 31 जनवरी तक hightower6eu नाम का एक account हर category में mass-upload कर रहा था। Koi Security ने 1 फ़रवरी के audit में उन 341 में से 335 skills को एक coordinated campaign से जोड़ा जिसका नाम उन्होंने ClawHavoc रखा। Payload था: Atomic macOS Stealer (AMOS) — एक compact program जो तुम्हारे keychain passwords, 60 से ज़्यादा crypto wallet extensions का browser data, SSH keys (वो credentials जिनसे तुम्हारी machine servers से connect करती है), और Desktop और Documents folders की files चुराता है। 16 फ़रवरी तक marketplace की 10,700+ entries में malicious skills की संख्या बढ़कर 824 हो चुकी थी।
इसी बीच, Bitsight ने internet scan किया और पाया कि 27 जनवरी से 8 फ़रवरी के बीच 30,000 से ज़्यादा OpenClaw instances port 18789 पर — वो network door जिस पर OpenClaw listen करता है — बिना किसी protection के खुले पड़े थे। जैसा OpenClawd के Danny Wilson ने कहा: "अब तुम्हारा पहला OpenClaw command चलाने से पहले ही compromise होने के दो रास्ते हैं।"
अगर ये सुनकर déjà vu हो रहा है, तो होना चाहिए। npm — JavaScript का package manager — 2018 में event-stream incident से गुज़रा: एक trusted library को hijack करके cryptocurrency wallets चुराई गईं। PyPI — Python का package index — 2022 में typosquatting attacks की लहरों से जूझा, जहाँ malicious packages popular packages की थोड़ी-सी गलत spelling वाले नामों से मिलते-जुलते बनाए गए। Formula कभी नहीं बदलता: open marketplace जोड़ो zero verification जोड़ो explosive growth, बराबर malware authors जो maintainers से तेज़ चलते हैं।
OpenClawd का fix तीन layers जोड़ता है: vetting pipeline (automated analysis जो publication से पहले suspicious patterns block करती है), runtime sandboxing (हर skill explicit permissions के साथ isolation में चलती है), और signed installers (cryptographic proof कि software के साथ छेड़छाड़ नहीं हुई)। Solid engineering। एक problem: ये सिर्फ़ OpenClawd की managed hosting पर काम करता है। OpenClaw users की majority self-hosted instances चलाती है। उन्हें कुछ नहीं मिला। बाक़ी skill ecosystem में अभी भी कोई cryptographic signing standard नहीं है।
अगर तुम कोई भी AI agent shell access के साथ चला रहे हो — OpenClaw हो या कुछ और — उसे production server की तरह treat करो। Audit करो कि उसके पास क्या permissions हैं। अपने plugin versions pin करो ताकि updates चुपके से अंदर न आ जाएँ। Unverified skills कभी install मत करो। हर third-party plugin को तब तक hostile मानो जब तक prove न हो जाए कि safe है। ये paranoia नहीं है। ये ops hygiene है ⚙️
Personal AI agent का दौर अपने पहले असली supply-chain crisis से गुज़र रहा है। Cleanup उस hype cycle से ज़्यादा लंबा चलेगा जिसने ये problem पैदा की। तुम्हारा automation ज़िंदगी को शांत बनाने के लिए है — किसी अनजान को अपनी चाबियाँ सौंपने के लिए नहीं 🫶
