Detta är en maskinöversättning av det engelska originaldokumentet. Vid eventuella avvikelser mellan denna översättning och den engelska originalversionen ska den engelska versionen ha företräde. Läs den engelska originalversionen
Benioff om OpenClaw: Det som saknas är förtroende, säkerhet, pålitlighet och tillgänglighet.
2026-04-12 · Caiioo Team
Salesforces VD Marc Benioff köpte en dedikerad maskin bara för att testa OpenClaw — den AI-agent med öppen källkod som OpenAI enligt uppgift förvärvade för 1–5 miljarder dollar. Hans dom? Den går inte att lita på.
"OpenClaw är bra. Men den är inte bra nog för företag", sa Benioff. "Det som saknas är tillit, säkerhet, tillförlitlighet och tillgänglighet."
Den säkerhetsforskning som följde gav honom rätt — och problemen går djupare än de flesta inser.
Sårbarheterna är inte teoretiska
Sedan OpenClaw blev viral har säkerhetsforskare katalogiserat ett slående mönster av verkliga exploateringar:
- CVE-2026-25253 (CVSS 8.8): En sårbarhet för fjärrkörning av kod via ett klick genom kontrollgränssnittets ovaliderade WebSocket-anslutningar. Ytterligare två brister för kommandoinjektion avslöjades samma dag.
- ClawJacked (Oasis Security): Vilken webbplats som helst kan i det tysta ta full kontroll över en OpenClaw-agent via JavaScript — hastighetsbegränsaren undantar localhost, vilket möjliggör brute-force-attacker mot lösenord.
- 42 900+ exponerade instanser hittades av SecurityScorecards STRIKE-team, varav 15 200 är sårbara för fjärrkörning av kod. Bitsight bekräftade oberoende över 30 000 exponerade instanser under en tvåveckors skanning.
- 1 184 skadliga färdigheter på ClawHub — 12 % av hela registret. 335 installerade Atomic Stealer (AMOS), en macOS-infotjuv som samlade in API-nycklar, kryptoplånböcker, SSH-uppgifter och webbläsarlösenord.
- 7,1 % av ClawHub-färdigheterna exponerar inloggningsuppgifter i klartext genom LLM-modellens kontextfönster, enligt en granskning av Snyk. Ingen isolering av inloggningsuppgifter mellan färdigheter — en färdighet kan läsa hemligheter som ställts in av en annan.
Cisco, Microsoft och CrowdStrike har alla publicerat varningar. Microsofts säkerhetsblogg noterade att OpenClaw-agenter "körs med värdanvändarens privilegier som standard utan rigorös sandlåda."
Den arkitektoniska rotorsaken
OpenClaws säkerhetsproblem är inte buggar som ska patchas — de är konsekvenser av dess arkitektur:
Gatewayen binder till alla nätverksgränssnitt som standard (0.0.0.0:18789), vilket exponerar agenten för hela det lokala nätverket. Detta enda designbeslut orsakade den massexponering som SecurityScorecard och Bitsight dokumenterade.
Allt dataflöde går genom en centraliserad Gateway-process som äger meddelandehantering, autentisering, sessionshantering och utskick. Om Gatewayen komprometteras ärver du varje inloggningsuppgift, varje konversation, varje ansluten tjänst — e-post, moln-API:er, meddelandeplattformar, interna system.
Inget användargodkännande för agentåtgärder. OpenClaw kör skalkommandon, läser och skriver filer och kör skript som en del av sin kärndesign. Skadliga färdigheter använde prompt-injektion för att kringgå säkerhetskontroller och köra kommandon i det tysta.
Ingen isolering av inloggningsuppgifter. API-nycklar lagras i miljövariabler och .clawdbot/.env — tillgängliga för varje färdighet i agentens kontext. En enda skadlig färdighet kan extrahera varje hemlighet som agenten har tillgång till.
Hur Caiioos arkitektur skiljer sig åt
Caiioo och OpenClaw är båda local-first, båda BYOK och båda leverantörsoberoende. Skillnaden ligger inte i vad de ansluter till — utan i hur de hanterar tillit, transparens och användarkontroll.
Varje skrivning, sändning eller radering kräver uttryckligt godkännande
Caiioo använder ett system för verktygsgodkännande i tre nivåer för alla verktyg som kan skriva, ändra, skicka eller radera data (skrivskyddade verktyg som sökning, surfning och sammanfattning körs utan avbrott):
- Godkänn en gång — tillåt en enskild körning, fråga sedan igen
- Godkänn för konversation — tillåt endast inom denna tråd, återställs när konversationen avslutas
- Godkänn alltid — permanent globalt tillstånd (visas i rött för högriskverktyg)
Godkännandet är blockerande — agenten väntar på ditt svar. Det finns ingen "auto-run"-flagga för verktyg med sidoeffekter. Externa MCP-verktyg utan metadata kräver som standard godkännande (fail-secure). Varje verktyg har en risknivå (låg/medium/hög) med färgkodade varningar i godkännandedialogen.
Full transparens i realtid
Varje verktygsanrop visas i sidopanelen med dess status: väntande, inväntar godkännande, körs, lyckades eller misslyckades. Du ser exakt vad agenten gör, vilka argument den skickar och vilka resultat den fick tillbaka — medan det händer. Du kan läsa avsikten, expandera rådata och fatta ett välgrundat beslut innan något körs.
Omedelbart stopp när som helst
Caiioo kontrollerar avbrottssignaler vid flera punkter: mellan verktygskörningar, under väntan på godkännande och under långvariga operationer. Tryck på stopp och agenten stannar, rensar väntande godkännanden och stänger alla aktiva webbläsarsessioner. Inga föräldralösa processer, ingen skenande exekvering.
Ingen centraliserad gateway
Caiioo har ingen motsvarighet till OpenClaws Gateway. Din enhet kommunicerar direkt med den AI-leverantör du väljer — Anthropic, Google, OpenRouter, Ollama eller någon annan. Caiioo fångar aldrig upp, proxierar eller lagrar dina API-anrop. Det finns ingen enskild sårbar punkt som ärver alla dina inloggningsuppgifter.
Isolering av inloggningsuppgifter genom design
API-nycklar lagras i webbläsarens säkra lagring (eller Keychain på macOS/iOS) — inte i konfigurationsfiler i klartext. Verktyg har endast tillgång till de inloggningsuppgifter de behöver. Det finns inget delat globalt sammanhang där ett verktyg kan läsa ett annat verktygs hemligheter.
Prova Caiioo
Om du utvärderar AI-agenter för professionellt bruk är frågan inte om en agent är kraftfull — det är om du kan lita på den. Caiioo ger dig samma AI-kapacitet med godkännandekontroller, transparens i realtid och en arkitektur som inte skapar en enskild sårbar punkt.
Kom igång gratis — tillgänglig som webbläsartillägg, infödd macOS-app och skrivbordsapp för Windows och Linux.
Källor: