Zainstalowałeś OpenClaw, bo kolega z pracy nie mógł przestać o nim gadać. Agent AI — program, który wykonuje zadania na twoim komputerze bez klikania w każdy przycisk — zarządza twoimi plikami, mailami i kalendarzem. Dałeś mu dostęp do shella (uprawnienia do uruchamiania komend bezpośrednio w twoim systemie operacyjnym). Wszystko działało gładko. Zautomatyzowane. Spokojne.
Nikt nie wspomniał, że ta rzecz uruchamiająca komendy na twoim laptopie ma taki sam model bezpieczeństwa jak niemoderowany sklep z aplikacjami z 2014 roku. Każdy z tygodniowym kontem na GitHubie mógł wrzucić 'skill" — plugin rozszerzający możliwości OpenClaw — do ClawHub, oficjalnego marketplace. Bez review. Bez skanowania. Bez podpisów. Czysty vibe.
27 marca 2026 roku OpenClawd wydał aktualizację bezpieczeństwa z weryfikowanym screeningiem skilli i runtime sandboxingiem — izolowanymi kontenerami, które nie pozwalają pluginom dotknąć niczego poza swoim pudełkiem. To stało się osiem tygodni po tym, jak badacze z Koi Security odkryli, że 341 z 2857 skilli na ClawHub to malware. To 11,9%. Prawie co ósmy.
Oto oś czasu. 30 stycznia OpenClaw załatał CVE-2026-25253 — podatność (luka w zabezpieczeniach na tyle poważna, że dostała oficjalny numer śledzenia) z oceną 8,8 na 10 w skali krytyczności. Luka pozwalała atakującym stworzyć pojedynczy link, który po kliknięciu kradł twój token uwierzytelniający (cyfrowy klucz potwierdzający twoją tożsamość) i dawał im pełne zdalne wykonanie kodu — możliwość uruchamiania dowolnych komend na twojej maszynie, jakby siedzieli przy twoim biurku.
Trzy dni wcześniej, 27 stycznia, pierwszy złośliwy skill pojawił się na ClawHub. Do 31 stycznia konto o nazwie hightower6eu masowo uploadowało we wszystkich kategoriach. Audyt Koi Security z 1 lutego powiązał 335 z tych 341 skilli z jedną skoordynowaną kampanią, którą nazwali ClawHavoc. Payload: Atomic macOS Stealer (AMOS) — kompaktowy program zbierający hasła z keychaina, dane przeglądarki z 60+ rozszerzeń do portfeli krypto, klucze SSH (dane uwierzytelniające, których twoja maszyna używa do łączenia się z serwerami) oraz pliki z folderów Desktop i Documents. Do 16 lutego liczba złośliwych skilli wzrosła do 824 na ponad 10 700 wpisów w marketplace.
W tym samym czasie Bitsight przeskanował internet i znalazł ponad 30 000 instancji OpenClaw wystawionych na porcie 18789 — drzwiach sieciowych, na których nasłuchuje OpenClaw — między 27 stycznia a 8 lutego. Jak ujął to Danny Wilson z OpenClawd: 'Teraz są dwa sposoby na kompromitację, zanim jeszcze uruchomisz swoją pierwszą komendę OpenClaw."
Jeśli brzmi ci to znajomo, to powinno. npm — menedżer pakietów JavaScriptu — miał swój incydent event-stream w 2018 roku: zaufana biblioteka przejęta, żeby kraść portfele kryptowalutowe. PyPI — indeks pakietów Pythona — zmierzył się z falami ataków typosquattingowych w 2022 roku, gdzie złośliwe pakiety udawały popularne z lekko przekręconymi nazwami. Wzorzec nigdy się nie zmienia: otwarty marketplace plus zerowa weryfikacja plus eksplozywny wzrost równa się autorzy malware, którzy działają szybciej niż maintainerzy.
Poprawka OpenClawd dodaje trzy warstwy: pipeline weryfikacji (automatyczna analiza blokująca podejrzane wzorce przed publikacją), runtime sandboxing (każdy skill działa w izolacji z jawnymi uprawnieniami) i podpisane instalatory (kryptograficzny dowód, że oprogramowanie nie zostało zmodyfikowane). Solidna inżynieria. Jeden problem: obejmuje wyłącznie managed hosting OpenClawd. Większość użytkowników OpenClaw korzysta z instancji self-hosted. Ci nie dostali nic. Szerszy ekosystem skilli nadal nie ma standardu podpisów kryptograficznych.
Jeśli korzystasz z jakiegokolwiek agenta AI z dostępem do shella — OpenClaw czy innego — traktuj go jak serwer produkcyjny. Audytuj, jakie ma uprawnienia. Przypinaj wersje pluginów, żeby aktualizacje nie wślizgnęły się po cichu. Nigdy nie instaluj niezweryfikowanych skilli. Zakładaj, że każdy plugin od strony trzeciej jest wrogi, dopóki nie udowodniono inaczej. To nie paranoja. To higiena ops ⚙️
Era osobistych agentów AI właśnie doczekała się pierwszego prawdziwego kryzysu łańcucha dostaw. Sprzątanie potrwa dłużej niż cykl hype'u, który go stworzył. Twoja automatyzacja powinna czynić życie spokojniejszym — a nie oddawać twój keychain w ręce obcego 🫶
