זוהי תרגום מכונה של המסמך המקורי באנגלית. במקרה של סתירה בין תרגום זה לבין הגרסה המקורית באנגלית, הגרסה באנגלית היא הקובעת. קרא את הגרסה המקורית באנגלית
בניוף על OpenClaw: מה שחסר זה אמון, אבטחה, מהימנות וזמינות.
2026-04-12 · Caiioo Team
מנכ"ל Salesforce, מארק בניוף, רכש מכונה ייעודית רק כדי לבחון את OpenClaw — סוכן ה-AI בקוד פתוח שדווח כי OpenAI רכשה תמורת 1-5 מיליארד דולר. פסק הדין שלו? אי אפשר לסמוך עליו.
"OpenClaw נהדר. אבל הוא לא נהדר עבור ארגונים," אמר בניוף. "מה שחסר זה אמון, אבטחה, אמינות וזמינות."
מחקר האבטחה שבא בעקבותיו הוכיח שהוא צדק — והבעיות עמוקות יותר ממה שרוב האנשים מבינים.
הפגיעויות אינן תיאורטיות
מאז ש-OpenClaw הפך לוויראלי, חוקרי אבטחה תיעדו דפוס בולט של פרצות בעולם האמיתי:
- CVE-2026-25253 (ציון CVSS 8.8): פגיעות להרצת קוד מרחוק בלחיצה אחת דרך חיבורי WebSocket לא מאומתים בממשק הבקרה. שתי פרצות הזרקת פקודות נוספות נחשפו באותו יום.
- ClawJacked (Oasis Security): כל אתר אינטרנט יכול להשתלט בחשאי על סוכן OpenClaw באמצעות JavaScript — מגביל הקצב מחריג את localhost, מה שמאפשר פריצת סיסמאות בכוח (brute-forcing).
- מעל 42,900 מופעים חשופים נמצאו על ידי צוות STRIKE של SecurityScorecard, כאשר 15,200 מהם פגיעים להרצת קוד מרחוק. Bitsight אישרה באופן עצמאי מעל 30,000 מופעים חשופים בסריקה של שבועיים.
- 1,184 מיומנויות זדוניות ב-ClawHub — כ-12% מכלל מאגר המיומנויות. 335 מהן התקינו את Atomic Stealer (AMOS), תוכנת גניבת מידע ל-macOS שאספה מפתחות API, ארנקי קריפטו, אישורי SSH וסיסמאות דפדפן.
- 7.1% מהמיומנויות ב-ClawHub חושפות אישורים בטקסט גלוי דרך חלון ההקשר של ה-LLM, לפי ביקורת של Snyk. אין הפרדת אישורים בין מיומנויות — מיומנות אחת יכולה לקרוא סודות שהוגדרו על ידי אחרת.
Cisco, Microsoft ו-CrowdStrike פרסמו כולן אזהרות. בבלוג האבטחה של Microsoft צוין כי סוכני OpenClaw "רצים עם הרשאות משתמש מארח כברירת מחדל ללא ארגז חול (sandboxing) קפדני."
שורש הבעיה הארכיטקטוני
בעיות האבטחה של OpenClaw אינן באגים שיש לתקן — הן תוצאה של הארכיטקטורה שלו:
השער (Gateway) נקשר לכל ממשקי הרשת כברירת מחדל (0.0.0.0:18789), מה שחושף את הסוכן לכל הרשת המקומית. החלטה עיצובית בודדת זו גרמה לחשיפה ההמונית שתיעדו SecurityScorecard ו-Bitsight.
כל הנתונים זורמים דרך תהליך Gateway מרכזי שבבעלותו ההודעות, האימות, ניהול הסשנים והניתוב. פריצה ל-Gateway מעניקה גישה לכל אישור, לכל שיחה ולכל שירות מחובר — אימייל, ממשקי ענן, פלטפורמות הודעות ומערכות פנימיות.
אין אישור משתמש לפעולות הסוכן. OpenClaw מבצע פקודות shell, קורא וכותב קבצים ומריץ סקריפטים כחלק מהעיצוב הבסיסי שלו. מיומנויות זדוניות השתמשו בהזרקת פרומפטים (prompt injection) כדי לעקוף בדיקות בטיחות ולבצע פקודות בחשאי.
אין הפרדת אישורים. מפתחות API נשמרים במשתני סביבה ובקובץ .clawdbot/.env — נגישים לכל מיומנות בהקשר של הסוכן. מיומנות זדונית אחת יכולה לשלוף כל סוד שיש לסוכן גישה אליו.
כיצד הארכיטקטורה של Caiioo שונה
Caiioo ו-OpenClaw הן שתיהן local-first, שתיהן BYOK, ושתיהן provider-agnostic. ההבדל אינו במה הן מתחברות אליו — אלא באופן שבו הן מנהלות אמון, שקיפות ושליטת משתמש.
כל כתיבה, שליחה או מחיקה דורשת אישור מפורש
Caiioo משתמשת במערכת אישור כלים בעלת שלושה טווחים (scopes) עבור כל כלי שיכול לכתוב, לשנות, לשלוח או למחוק נתונים (כלים לקריאה בלבד כגון חיפוש, דפדוף וסיכום פועלים ללא הפרעה):
- Approve Once — אישור ביצוע בודד, ולאחר מכן בקשה חוזרת
- Approve for Conversation — אישור בתוך שרשור זה בלבד, איפוס עם סיום השיחה
- Always Approve — הרשאה גלובלית קבועה (מוצגת באדום עבור כלים בסיכון גבוה)
האישור הוא חוסם (blocking) — הסוכן ממתין לתגובתך. אין דגל "auto-run" עבור כלים בעלי השפעות לוואי (side-effects). כלי MCP חיצוניים ללא metadata מחויבים כברירת מחדל באישור (fail-secure). לכל כלי יש רמת סיכון (נמוכה/בינונית/גבוהה) עם אזהרות מקודדות בצבע בדיאלוג האישור.
שקיפות מלאה בזמן אמת
כל קריאה לכלי מופיעה בפאנל הצדדי עם הסטטוס שלה: בהמתנה, ממתין לאישור, בביצוע, הצליח או נכשל. אתה רואה בדיוק מה הסוכן עושה, אילו ארגומנטים הוא מעביר ואילו תוצאות הוא קיבל — בזמן שזה קורה. ניתן לקרוא את הכוונה (intent), להרחיב את הפרטים הגולמיים ולקבל החלטה מושכלת לפני שדבר מה מבוצע.
עצירה מיידית בכל נקודה
Caiioo בודקת אותות ביטול (abort signals) במספר נקודות: בין ביצועי כלים, במהלך ההמתנה לאישור ובתוך פעולות ארוכות טווח. לחיצה על עצירה (stop) והסוכן נעצר, מנקה אישורים ממתינים וסוגר את כל הפעלות הדפדפן הפעילות. אין תהליכים יתומים, אין ביצוע שיצא משליטה.
ללא Gateway מרכזי
ל-caiioo אין מקבילה ל-Gateway של OpenClaw. המכשיר שלך מדבר ישירות עם ספק ה-AI שבחרת — Anthropic, Google, OpenRouter, Ollama או כל ספק אחר. Caiioo לעולם אינה מיירטת, משמשת כפרוקסי או מאחסנת את קריאות ה-API שלך. אין נקודת פשרה בודדת שיורשת את כל פרטי הגישה שלך.
בידוד פרטי גישה כחלק מהתכנון
מפתחות API מאוחסנים באחסון המאובטח של הדפדפן (או ב-Keychain ב-macOS/iOS) — לא בקבצי קונפיגורציה בטקסט פשוט. כלים ניגשים רק לפרטי הגישה שהם צריכים. אין הקשר גלובלי משותף שבו כלי אחד יכול לקרוא את הסודות של כלי אחר.
נסו את Caiioo
אם אתם בוחנים סוכני בינה מלאכותית לשימוש מקצועי, השאלה היא לא האם הסוכן חזק — אלא האם אתם יכולים לסמוך עליו. Caiioo מעניקה לכם את אותן יכולות בינה מלאכותית עם בקרות אישור, שקיפות בזמן אמת וארכיטקטורה שאינה יוצרת נקודת כשל בודדת.
התחילו בחינם — זמין כתוסף לדפדפן, אפליקציית macOS טבעית, ואפליקציית שולחן עבודה ל-Windows ו-Linux.
מקורות: