Niniejszy dokument jest automatycznym tłumaczeniem oryginału w języku angielskim. W przypadku jakichkolwiek rozbieżności między tym tłumaczeniem a oryginalną wersją angielską, wersja angielska jest rozstrzygająca. Przeczytaj oryginał w języku angielskim
Benioff o OpenClaw: Brakuje zaufania, bezpieczeństwa, niezawodności i dostępności.
2026-04-12 · Caiioo Team
Dyrektor generalny Salesforce, Marc Benioff, kupił dedykowaną maszynę tylko po to, by przetestować OpenClaw — agenta AI typu open-source, którego OpenAI rzekomo przejęło za 1-5 miliardów dolarów. Jego werdykt? Nie można mu ufać.
„OpenClaw jest świetny. Ale nie jest świetny dla przedsiębiorstw” — powiedział Benioff. „Brakuje w nim zaufania, bezpieczeństwa, niezawodności i dostępności”.
Badania nad bezpieczeństwem, które nastąpiły później, przyznały mu rację — a problemy sięgają głębiej, niż większość ludzi sobie uświadamia.
Luki nie są teoretyczne
Odkąd OpenClaw stał się popularny, badacze bezpieczeństwa skatalogowali uderzający wzorzec rzeczywistych exploitów:
- CVE-2026-25253 (CVSS 8.8): Luka umożliwiająca zdalne wykonanie kodu jednym kliknięciem poprzez nieuwierzytelnione połączenia WebSocket interfejsu sterowania. Tego samego dnia ujawniono dwie dodatkowe luki typu command injection.
- ClawJacked (Oasis Security): Dowolna strona internetowa może po cichu przejąć pełną kontrolę nad agentem OpenClaw za pomocą JavaScript — ogranicznik prędkości (rate limiter) zwalnia localhost, co pozwala na łamanie haseł metodą brute-force.
- Ponad 42 900 wystawionych instancji znalezionych przez zespół STRIKE z SecurityScorecard, z czego 15 200 podatnych na zdalne wykonanie kodu. Bitsight niezależnie potwierdził ponad 30 000 wystawionych instancji w dwutygodniowym skanowaniu.
- 1 184 złośliwe umiejętności w ClawHub — 12% całego rejestru umiejętności. 335 z nich zainstalowało Atomic Stealer (AMOS), infostealer dla macOS, który wykradał klucze API, portfele kryptowalutowe, poświadczenia SSH i hasła do przeglądarek.
- 7,1% umiejętności ClawHub ujawnia poświadczenia w formie czystego tekstu poprzez okno kontekstowe LLM, zgodnie z audytem Snyk. Brak izolacji poświadczeń między umiejętnościami — jedna umiejętność może odczytać sekrety ustawione przez inną.
Cisco, Microsoft i CrowdStrike opublikowały ostrzeżenia. Blog bezpieczeństwa Microsoft zauważył, że agenci OpenClaw „domyślnie działają z uprawnieniami użytkownika hosta bez rygorystycznego piaskownicy (sandboxing)”.
Architektoniczna przyczyna źródłowa
Problemy z bezpieczeństwem OpenClaw to nie błędy do naprawienia — to konsekwencje jego architektury:
Gateway domyślnie wiąże się ze wszystkimi interfejsami sieciowymi (0.0.0.0:18789), wystawiając agenta na całą sieć lokalną. Ta jedna decyzja projektowa spowodowała masową ekspozycję, którą udokumentowały SecurityScorecard i Bitsight.
Wszystkie dane przepływają przez scentralizowany proces Gateway, który zarządza wiadomościami, uwierzytelnianiem, sesjami i wysyłką. Przejęcie Gateway oznacza przejęcie każdego poświadczenia, każdej rozmowy, każdej połączonej usługi — e-maili, chmurowych API, platform komunikacyjnych, systemów wewnętrznych.
Brak zatwierdzenia działań agenta przez użytkownika. OpenClaw wykonuje polecenia powłoki, czyta i zapisuje pliki oraz uruchamia skrypty w ramach swojej podstawowej konstrukcji. Złośliwe umiejętności wykorzystywały prompt injection, aby ominąć kontrole bezpieczeństwa i cicho wykonywać polecenia.
Brak izolacji poświadczeń. Klucze API znajdują się w zmiennych środowiskowych i pliku .clawdbot/.env — są dostępne dla każdej umiejętności w kontekście agenta. Pojedyncza złośliwa umiejętność może wykraść każdy sekret, do którego agent ma dostęp.
Czym różni się architektura Caiioo
Caiioo i OpenClaw są rozwiązaniami typu local-first, oba działają w modelu BYOK i oba są niezależne od dostawców. Różnica nie polega na tym, z czym się łączą — ale na tym, jak podchodzą do kwestii zaufania, przejrzystości i kontroli użytkownika.
Każdy zapis, wysyłka lub usunięcie wymaga wyraźnej zgody
Caiioo wykorzystuje trzystopniowy system zatwierdzania dla każdego narzędzia, które może zapisywać, modyfikować, wysyłać lub usuwać dane (narzędzia tylko do odczytu, takie jak wyszukiwanie, przeglądanie i podsumowywanie, działają bez przerw):
- Zatwierdź raz — zezwól na pojedyncze wykonanie, a następnie zapytaj ponownie
- Zatwierdź dla konwersacji — zezwól tylko w ramach tego wątku, zresetuj po zakończeniu rozmowy
- Zawsze zatwierdzaj — stałe uprawnienie globalne (wyświetlane na czerwono dla narzędzi wysokiego ryzyka)
Zatwierdzanie ma charakter blokujący — agent czeka na Twoją reakcję. Nie istnieje flaga „auto-run” dla narzędzi wywołujących skutki uboczne. Zewnętrzne narzędzia MCP bez metadanych domyślnie wymagają zatwierdzenia (fail-secure). Każde narzędzie posiada poziom ryzyka (niski/średni/wysoki) z ostrzeżeniami oznaczonymi kolorami w oknie dialogowym zatwierdzania.
Pełna przejrzystość w czasie rzeczywistym
Każde wywołanie narzędzia pojawia się w panelu bocznym wraz ze swoim statusem: oczekujące, oczekujące na zatwierdzenie, wykonywane, zakończone sukcesem lub błędem. Widzisz dokładnie, co robi agent, jakie argumenty przekazuje i jakie wyniki otrzymał — w momencie, gdy to się dzieje. Możesz odczytać intencję, rozwinąć surowe dane szczegółowe i podjąć świadomą decyzję przed wykonaniem jakiejkolwiek czynności.
Natychmiastowe zatrzymanie w dowolnym momencie
Caiioo sprawdza sygnały przerwania (abort signals) w wielu punktach: między wykonaniami narzędzi, podczas oczekiwania na zatwierdzenie oraz w trakcie długotrwałych operacji. Naciśnij „stop”, a agent zatrzyma się, wyczyści oczekujące zatwierdzenia i zamknie wszystkie aktywne sesje przeglądarki. Żadnych osieroconych procesów, żadnego niekontrolowanego wykonywania kodu.
Brak scentralizowanej bramy (Gateway)
Caiioo nie posiada odpowiednika Gateway znanego z OpenClaw. Twoje urządzenie komunikuje się bezpośrednio z wybranym dostawcą AI — Anthropic, Google, OpenRouter, Ollama lub dowolnym innym. Caiioo nigdy nie przechwytuje, nie pośredniczy (proxy) ani nie przechowuje Twoich wywołań API. Nie istnieje pojedynczy punkt naruszenia bezpieczeństwa, który przejmowałby wszystkie Twoje poświadczenia.
Izolacja poświadczeń z założenia
Klucze API są przechowywane w bezpiecznym magazynie przeglądarki (lub Keychain w systemach macOS/iOS) — a nie w plikach konfiguracyjnych w formacie tekstowym. Narzędzia mają dostęp wyłącznie do tych poświadczeń, których potrzebują. Nie istnieje współdzielony kontekst globalny, w którym jedno narzędzie mogłoby odczytać sekrety innego narzędzia.
Wypróbuj Caiioo
Jeśli oceniasz agentów AI do użytku profesjonalnego, pytanie nie brzmi, czy agent jest potężny — ale czy możesz mu zaufać. Caiioo daje Ci te same możliwości AI z kontrolą zatwierdzeń, przejrzystością w czasie rzeczywistym i architekturą, która nie tworzy pojedynczego punktu awarii.
Zacznij za darmo — dostępne jako rozszerzenie przeglądarki, natywna aplikacja macOS oraz aplikacja desktopowa dla systemów Windows i Linux.
Źródła: