Blogg
OpenClaw AI-agent – Från produktivitet till säkerhetsrisk
Vad hände när goda intentioner om effektivisering möter brister i säkerheten? OpenClaw är en personlig AI-agent med förmåga att hantera e-post, köra terminalkommandon och styra anslutna tjänster, men som har visat sig ha en mörkare sida. ClawHavoc: en säkerhetskris som sätter autonoma AI-agenter i fokus.
OpenClaw-krisen: När en AI-agent blev en säkerhetskatastrof
OpenClaw är ett ramverk för AI-agenter byggt på öppen källkod. Det fick viral spridning i början på 2026, projektet drog till sig över två miljoner besökare på en vecka. Ursprungligen lanserades det under namnet Clawdbot av Peter Steinberger, en österrikisk utvecklare, i november 2025. Men bytte namn efter påtryckningar från Anthropic.
Verktygets lockelse är enkel: det ger användare en lokal AI-assistent som kommunicerar via appar som WhatsApp, Telegram och Slack. Den kan autonomt utföra uppgifter som att hantera e-post, köra terminalkommandon, surfa på webben och styra anslutna tjänster.
Det är just autonomin som gör den till ett högt värderat mål för angripare. Dessa typer av autonoma AI-agenter introducerar betydande säkerhetsrisker när de distribueras utan styrning. Tre veckor efter sin popularitetsexplosion blev OpenClaw centrum för en trefaldig multivektor-säkerhetskris.
Förstå OpenClaw
I grunden är OpenClaw ett agentgränssnitt. Det ansluter till en extern språkmodell, vanligtvis Anthropics Claude, OpenAIs GPT eller DeepSeek, och kör vald AI i en exekveringsmiljö med bred systemåtkomst. Användaren kommunicerar med agenten via meddelandeappar, och agenten agerar. Den kör kommandon i kommandotolken, läser och modifierar filer, skickar e-post, schemalägger uppgifter, surfar på webben och hanterar Open Authorization-anslutna tjänster (OAuth). Den lagrar även data och kontext över sessioner, vilket innebär att den lär sig och anpassar sig över tid.
Arkitekturen använder gateways som hanterar kommunikationen med språkmodellen och exekverar uppgifter på värdsystemet, samt tillhandahåller en browserbaserad kontrollpanel. Funktionalitet utökas med skills. Det vill säga tillägg som publiceras på ClawHub, en community-marknadsplats liknande en webbläsares butik för plugins. Vid tiden för de första säkerhetsrevisionerna hade ClawHub cirka 2 857 skills, det antalet har sedan dess vuxit till över 10 700.
Förmåga & bekvämlighet
Designfilosofin prioriterar förmåga och bekvämlighet framför säkerhet och kontroll. Fullständig diskåtkomst, terminalbehörigheter och OAuth-tokens beviljas rutinmässigt för att göra agenten funktionell. Som en av OpenClaws administratörer uttryckte det i projektets Discord-kanal:
Om du inte förstår hur man kör kommandotolken, är det här projektet alldeles för farligt för dig att använda på ett säkert sätt.
Denna öppenhjärtiga kommentar fångar dynamiken i projektets kärna och är anledningen till att AI-agenter har blivit en fråga om cybersäkerhet .
Tre säkerhetshot
Hot 1: Fjärrkodexekvering med ett klick
Det mest akuta hotet var möjligheten att exekvera fjärrkod, något som nu är åtgärdat. Denna svaghet tillät angripare att köra kod på det angripna systemet. Det börjar med oaktsamhet där någon klickar på en skadlig länk vilken obemärkt exfiltrerade deras autentiseringstoken. Vilket gav angriparen operatörsnivå-kontroll över gatewayen. Att agenten körs lokalt gjorde att många antog att den var skyddad. En missuppfattning som snabbt utnyttjades. Via offrets webbläsare kunde angriparen kringgå detta ”skydd”.
Skalan på exponeringen var alarmerande, med tiotusentals internetexponerade AI-agenter identifierade på globala molnplattformar. Automatiserad skanning började inom timmar efter att sårbarheten offentliggjorts.
Hot 2: Storskalig supply-chain-poisoning
Supply-chain attackerades i en hotkampanj som kommit att kallas ClawHavoc. Över 800 skadliga skills laddades upp till ClawHub, förklädda till populära verktyg som kryptoplånböcker och YouTube-verktyg. Dessa skills lurade användare att exekvera skadliga kommandon. TIll exempel att installera infostealers som Atomic macOS Stealer (AMOS) och VMProtect-packad skadlig kod. Kampanjens sofistikering låg i dess operativa disciplin, omfattande typosquatting och manipulation av OpenClaws minnesfiler, vilket tillät angripare att bädda in fördröjd exekvering. Vidare gjorde bristen på skydd, som kodgranskning och signering, att ClawHub översvämmades med skadliga skills som utnyttjade OpenClaws generösa förtroendemodell.
Hot 3: Arkitektonisk säkerhetsskuld
Utöver dessa omedelbara hot utgör OpenClaws design i sig systemiska risker. Dess agenter kombinerar åtkomst till känslig data, exponering för opålitligt innehåll och extern kommunikation. Något forskare kallar en ”dödlig trio”. Lagrade autentiseringsuppgifter i okrypterad text, mottaglighet för prompt-injection och den inneboende svårigheten i att upptäcka skadlig agentaktivitet förstärker faran ytterligare. Traditionella säkerhetsverktyg har svårt att identifiera dessa semantiska attacker, eftersom skadliga handlingar är inbäddade och smälter samman med legitim aktivitet.
Problemet med ”skuggagenter”
OpenClaw marknadsförs som ett personligt produktivitetsverktyg. Gränsen mellan privat och företagsanvändning suddas ut när en anställd ansluter sin privata agent till företagets Slack, e-post, Google Workspace eller andra SaaS-plattformar med sin företagsidentitet. Detta är inget hypotetiskt scenario. Bitdefenders säkerhetstelemetri har dokumenterat OpenClaw-distributioner på företagsenheter, vilket bekräftar att anställda installerar och kör AI-agenter med bred systemåtkomst på företagstjänster, ofta utan säkerhetsteamens kännedom eller godkännande.
Mönstret påminner om klassisk shadow-IT, men med en kritisk förstärkning: till skillnad från en oauktoriserad SaaS-prenumeration är en AI-agent beväpnad med användarbehörigheter och agerar autonomt. Den kräver inte upprepad mänsklig interaktion för att upprätthålla åtkomsten. En komprometterad agent kan läsa Slack-meddelanden, kommer åt molnlagrade dokument, skicka e-post och exfiltrera data genom normala applikationskanaler. Allt medan det utifrån ser ut som legitim användaraktivitet.
Organisationer utan tydliga policys och verkställande mekanismer för autonoma agentverktyg riskerar en växande utmaning i ohanterade, högt privilegierade AI-agenter som opererar inom deras säkerhetsperimeter.
Guide: Cybersäker 2026 – Effektiv & framtidssäker AI
AI-agenter förändrar säkerhetsmodellen
OpenClaw är inget isolerat fall. Det är en tidig och lärorik fallstudie i en större förskjutning som kommer att definiera säkerhetslandskapet under överskådlig framtid. Flera mönster som observerats här kommer att upprepas när användningen av autonoma agenter accelererar:
- Marknadsplatser för appar och skills blir en ny attackyta.
- Social manipulation kryper in i utvecklar- och användarflöden.
- Traditionella kontroller kämpar när skadlig aktivitet ser ut som legitim automation.
- Prompt-injection och behörighetskrav är strukturella problem, inte undantag.
Säkerhetsfrågan organisationer måste ställa sig handlar inte längre om eller när autonoma agenter kommer att dyka upp i deras miljöer. Utan om upptäckt och styrning kommer att hålla jämna steg med angriparnas innovationskraft. OpenClaw har gett den första storskaliga demonstrationen av vad som händer när hotaktörerna får ett försprång.
Vill du läsa en mer teknisk djupdykning i Claw Havoc med rekommendationer om hur du skyddar ditt företag och hur ni bör agera vid en incident? → The OpenClaw Security Crisis
Läs också Ciscos bloggpost Personal AI Agents like OpenClaw Are a Security Nightmare där de bland annat tipsar om en Skills-skanner för utvecklare.
Om författaren
David Kasabji
Threat Intelligence Engineer
David Kasabji är Threat Intelligence Engineer på Conscia Group. Hans huvudansvar är att leverera relevant information om cyberhot i olika format till specifika målgrupper, allt från Conscias eget cyberförsvar, hela vägen till de offentliga medieplattformarna. Hans arbete inkluderar att analysera och konstruera Threat Intel från olika datakällor, reverse engineering av skadlig programvara, skapa TTP:er baserade på inhämtad information och publicera FoU-innehåll. Han är certifierad GCTI och GMON.
Relaterat
