Moltbot (OpenClaw) #
W ostatnim czasie wokół Moltbot, obecnie występującego pod nazwą OpenClaw, narosło sporo szumu. Dzieje się tak niemal za każdym razem, gdy narzędzia „do automatyzacji wszystkiego” trafiają nagle do szerokiego grona odbiorców. OpenClaw to w praktyce agentowy asystent AI, który nie ogranicza się do generowaniu tekstu, tylko ma wykonywać za nas niektóre czynności: łączy się z wybranymi modelami językowymi i, poprzez warstwę bramki (ang. gateway), potrafi obsługiwać różne kanały komunikacji oraz wykonywać zadania na naszym lokalnym urządzeniu. Dostaje polecenie, planuje kroki, a potem je realizuje, często poprzez narzędzia lub systemy oraz rozszerzenia, tzw. umiejętności (ang. skills). Mówiąc wprost, wybieramy konkretny model językowy (może być uruchamiany w chmurze lub lokalnie) i dajemy mu dostęp do danych i uprawnień. Taki system może obsługiwać nasz kalendarz, pocztę, obsługiwać Whatsapp, Signal, Telegram, Discord, Slack itp. OpenClaw posiada własną pamięć i zarządza zadaniami. Nie jest to nowy model językowy, a swojego rodzaju zarządca wydający polecenia, taki menadżer. To kuszące rozwiązanie, bo odciąża użytkownika, ale ma też ciemną stronę, ponieważ im więcej udzielimy uprawnień, do naszych plików, danych i systemów, tym większe będą konsekwencje błędów i nadużyć. O tym za chwilę.
Moltbook #
Ponadto, powstało też coś co nazywa się Moltbook. Jest to forum w stylu Reddita, gdzie publikować i dyskutować mogą głównie boty/agentowe konta, a człowiek jest raczej widzem, a nie uczestnikiem. Od razu pojawiły się viralowe historie o agentach tworzących własne „języki” czy religie, snujących teorie o świadomości czy nawet wygłaszających groźne manifesty. To wszystko napędziło wiele kliknięć i zrodziło skrajne emocje. Jednocześnie uruchomiło też falę sceptycyzmu, czy to rzeczywiście autonomia, czy raczej sprytna inscenizacja i podgrzewanie atmosfery. W zamyśle miało być to forum, na którym boty miały się wymieniać informacjami i dyskutować. Jednak moim zdaniem dyskusje botów nie wniosły raczej niczego nowego, są zwykłą paplaniną, która nawet nie nadaje się specjalnie jako materiał do badań naukowych. To zwykłe granie na emocjach. Nie sposób też nie wspomnieć, że wraz z uruchomieniem usługi na skutek błędów (wynikających z vibe coding’u) wyciekły dane 6000 użytkowników. Taki „drobny" wypadek przy pracy.[1]
Bezpieczeństwo #
Wróćmy jednak do spraw bezpieczeństwa. Pierwszym problemem OpenClaw są wspomniane wcześniej umiejętności (skills), które można doinstalować z repozytorium ClawHub. Niestety już teraz powstały setki złośliwych rozszerzeń, a samo repozytorium jest wykorzystywane do dystrybucji szkodliwego oprogramowania. Nieświadomy użytkownik może zainstalować na swoim urządzeniu infostealery, które kradną klucze API, klucze portfeli, hasła z przeglądarek bądź też otrzymuje w „gratisie" RAT (Remote Access Trojan), który umożliwia przejęcie kontroli nad urządzeniem z zewnątrz. Złośliwe rozszerzenia często mają bardzo podobne nazwy do popularnych i wiarygodnych rozszerzeń w nadziei na pomyłkę użytkownika (tzw. typosquatting).
Załóżmy jednak, że zainstalujemy tylko wiarygodne rozszerzenia i unikniemy potencjalnych kłopotów. To jednak nie koniec problemów, to dopiero początek, ponieważ OpenClaw jest agentem AI, a te są bardzo podatne na wszelkiego rodzaju nadużycia. Do popularnych z nich należy zaliczyć bezpośrednie lub pośrednie wstrzyknięcie zapytania (ang. prompt injection). Informacja zawarta w odpowiednio spreparowanym dokumencie, stronie WWW czy tekście na forum, staje się częścią prompta, a następnie jest traktowana jako instrukcja. W konsekwencji może dojść do wycieku danych lub wykonania złośliwego polecenia. Ponadto agenci AI często otrzymują bardzo duże uprawnienia i dostęp do wielu naszych usług. Do tego dochodzi błędna konfiguracja usług i nieszczęście gotowe.
Chociaż OpenClaw pojawił się niedawno, to już istnieje wiele podatności, między innymi:
- CVE-2026-25253 (CVSS 8.8) — według belgijskiego CCB krytyczna podatność typu „1-click”, czyli bez konieczności ingerencji użytkownika, umożliwia zdalne wykonanie kodu (RCE, Remote Code Execution) w OpenClaw sprzed 2026.1.29.[2]
- CVE-2026-24763 — command injection w mechanizmie uruchamiania w Docker sandbox (niebezpieczna obsługa PATH) w wersjach przed 2026.1.29; naprawione w 2026.1.29.[3]
- CVE-2026-25593 — nieuwierzytelnione lokalne RCE przez ścieżkę Gateway WebSocket config.apply; załatane w 2026.1.20; zalecenia obejmują m.in. włączenie gateway.auth i unikanie niebezpiecznych wartości cliPath. [4]
- CVE-2026-25475 — możliwość lokalnego odczytu/wycieku plików przez obsługę MEDIA: (np. ~/.ssh, .env); dotyczy wersji <= 2026.1.29, poprawione w 2026.1.30.[5]
Używać czy nie? #
Pytania na koniec: Czy da się tego używać i czy powinniśmy korzystać z takich rozwiązań jak OpenClaw? Używać się teoretycznie da, pytanie brzmi tylko po co. Rozwiązania takie jak agenci AI stwarzają poważne zagrożenie dla bezpieczeństwa danych, zwiększają ryzyko kradzieży pieniędzy i włamań do systemów. Po co więc się narażać za cenę wątpliwej jakości udogodnienia? Jeżeli jednak czujemy niepohamowaną chęć przetestowania tego rozwiązania, to poniżej kilka moich porad, które może chociaż trochę zwiększą bezpieczeństwo tego wynalazku:
- Zaktualizujcie OpenClaw do najnowszej wersji.
- Traktujcie rozszerzenia (czyli zdolności/skills) z dużą dozą ostrożności. Instalujcie je tylko od zaufanych autorów. Czytajcie skill.md i skrypty. Szczególnie sceptycznie patrzcie na polecenia typu „wklej to w terminal”
- Uruchamiajcie w piaskownicy (sandbox), maszyna wirtualna (VM), kontener i z minimalnymi uprawieniami użytkownika.
- Ograniczcie dostęp do plików oraz w miarę możliwości ograniczcie ruch wychodzący.
- Jeżeli już zainstalowaliście podejrzane rozszerzenie, to zatrzymajcie OpenClaw i zmieńcie klucze dostępu do API (modelu językowego) oraz tokeny do usług (WhatsApp, Slack itd.). Dopilnujcie, aby stare klucze/tokeny nie były aktywne!
- Sprawdźcie ustawienia gateway/auth, tak aby wymagane było uwierzytelnianie.
Więcej informacji na temat bezpieczeństwa można znaleźć na stronie OpenClaw pod adresem: https://docs.openclaw.ai/gateway/security
Bibliografia #
-
‘Moltbook’ social media site for AI agents had big security hole, cyber firm Wiz says https://www.reuters.com/legal/litigation/moltbook-social-media-site-ai-agents-had-big-security-hole-cyber-firm-wiz-says-2026-02-02 ↩︎
-
Warning: Critical vulnerability in OpenClaw allows 1‑click remote code execution when processing attacker‑controlled content, Patch Immediately! https://ccb.belgium.be/advisories/warning-critical-vulnerability-openclaw-allows-1-click-remote-code-execution-when ↩︎
-
CVE-2026-24763 Detail https://nvd.nist.gov/vuln/detail/CVE-2026-24763 ↩︎
-
OpenClaw vulnerable to Unauthenticated Local RCE via WebSocket config.apply https://github.com/advisories/GHSA-g55j-c2v4-pjcg ↩︎
-
OpenClaw Vulnerable to Local File Inclusion via MEDIA: Path Extraction https://github.com/advisories/GHSA-r8g4-86fx-92mq ↩︎