Ito ay isang machine translation ng orihinal na dokumentong Ingles. Sa kaganapan ng anumang salungatan sa pagitan ng pagsasaling ito at ng orihinal na bersyong Ingles, ang bersyong Ingles ang mangingibabaw. Basahin ang orihinal na bersyong Ingles

---

Benioff sa OpenClaw: Ang kulang ay tiwala, seguridad, pagiging maaasahan, at availability.

2026-04-12 · Caiioo Team

Bumili ang CEO ng Salesforce na si Marc Benioff ng isang dedikadong makina para lamang subukan ang OpenClaw — ang open-source na AI agent na iniulat na nakuha ng OpenAI sa halagang $1-5 bilyon. Ang kanyang hatol? Hindi ito mapagkakatiwalaan.

"Maganda ang OpenClaw. Ngunit hindi ito pang-enterprise," sabi ni Benioff. "Ang kulang ay tiwala, seguridad, pagiging maaasahan, at availability."

Pinatunayan siya ng sumunod na pananaliksik sa seguridad — at ang mga problema ay mas malalim kaysa sa napagtatanto ng karamihan.

Ang mga Kahinaan ay Hindi Teoretikal

Mula nang maging viral ang OpenClaw, ang mga mananaliksik sa seguridad ay nakapagtala ng isang kapansin-pansing pattern ng mga totoong exploit:

• CVE-2026-25253 (CVSS 8.8): Isang one-click remote code execution vulnerability sa pamamagitan ng hindi validated na mga koneksyon sa WebSocket ng control UI. Dalawa pang command injection flaws ang isiniwalat sa parehong araw.
• ClawJacked (Oasis Security): Anumang website ay maaaring tahimik na kumuha ng buong kontrol sa isang OpenClaw agent sa pamamagitan ng JavaScript — ang rate limiter ay nag-e-exempt sa localhost, na nagpapahintulot sa password brute-forcing.
• 42,900+ na lantad na instance ang natagpuan ng STRIKE team ng SecurityScorecard, kung saan 15,200 ang bulnerable sa remote code execution. Kinumpirma ng Bitsight nang nakapag-iisa ang 30,000+ na lantad na instance sa isang dalawang linggong scan.
• 1,184 na malisyosong skill sa ClawHub — 12% ng buong skill registry. 335 ang nag-install ng Atomic Stealer (AMOS), isang macOS infostealer na kumuha ng mga API key, cryptocurrency wallet, SSH credential, at mga password sa browser.
• 7.1% ng mga skill sa ClawHub ay naglalantad ng mga credential sa plaintext sa pamamagitan ng context window ng LLM, ayon sa isang audit ng Snyk. Walang credential isolation sa pagitan ng mga skill — ang isang skill ay maaaring magbasa ng mga sikretong itinakda ng iba.

Ang Cisco, Microsoft, at CrowdStrike ay naglathala na ng mga advisory. Inihayag ng security blog ng Microsoft na ang mga OpenClaw agent ay "tumatakbo nang may mga pribilehiyo ng host user bilang default nang walang mahigpit na sandboxing."

Ang Arkitektural na Ugat na Sanhi

Ang mga problema sa seguridad ng OpenClaw ay hindi mga bug na dapat i-patch — ang mga ito ay bunga ng arkitektura nito:

Ang Gateway ay nagba-bind sa lahat ng network interface bilang default (0.0.0.0:18789), na naglalantad sa agent sa buong lokal na network. Ang nag-iisang desisyong ito sa disenyo ang naging sanhi ng malawakang pagkakalantad na idokumento ng SecurityScorecard at Bitsight.

Lahat ng data ay dumadaloy sa isang sentralisadong proseso ng Gateway na nagmamay-ari ng pagmemensahe, authentication, session management, at dispatch. Kapag nakompromiso ang Gateway, makukuha mo ang bawat credential, bawat pag-uusap, bawat konektadong serbisyo — email, cloud API, mga platform ng pagmemensahe, at mga internal na sistema.

Walang pag-apruba ng user para sa mga aksyon ng agent. Ang OpenClaw ay nagpapatupad ng mga shell command, nagbabasa at nagsusulat ng mga file, at nagpapatakbo ng mga script bilang bahagi ng pangunahing disenyo nito. Ang mga malisyosong skill ay gumamit ng prompt injection upang lampasan ang mga pagsusuri sa kaligtasan at tahimik na magpatupad ng mga command.

Walang credential isolation. Ang mga API key ay nakatira sa mga environment variable at .clawdbot/.env — naa-access ng bawat skill sa konteksto ng agent. Ang isang malisyosong skill ay maaaring mag-exfiltrate ng bawat sikretong may access ang agent.

Kung Paano Nagkakaiba ang Arkitektura ng Caiioo

Ang Caiioo at OpenClaw ay parehong local-first, parehong BYOK, at parehong provider-agnostic. Ang pagkakaiba ay hindi sa kung ano ang kinokonektahan nila — kundi sa kung paano nila pinangangasiwaan ang tiwala, transparency, at kontrol ng user.

Bawat Write, Send, o Delete ay Nangangailangan ng Tahasang Pag-apruba

Gumagamit ang Caiioo ng three-scope tool approval system para sa anumang tool na maaaring mag-write, mag-modify, mag-send, o mag-delete ng data (ang mga read-only na tool gaya ng search, browse, at summarize ay tumatakbo nang walang abala):

• Approve Once — payagan ang isang beses na pag-execute, pagkatapos ay magtanong ulit
• Approve for Conversation — payagan sa loob lamang ng thread na ito, mag-re-reset kapag natapos na ang pag-uusap
• Always Approve — permanenteng global na pahintulot (ipinapakita sa kulay pula para sa mga high-risk na tool)

Ang pag-apruba ay blocking — ang agent ay naghihintay para sa iyong tugon. Walang "auto-run" flag para sa mga tool na may side-effect. Ang mga external na MCP tool na walang metadata ay naka-default sa nangangailangan ng pag-apruba (fail-secure). Ang bawat tool ay may risk level (low/medium/high) na may mga color-coded na babala sa approval dialog.

Buong Transparency sa Real Time

Bawat tool call ay lumalabas sa sidepanel kasama ang status nito: pending, awaiting approval, executing, succeeded, o failed. Nakikita mo nang eksakto kung ano ang ginagawa ng agent, anong mga argument ang ipinapasa nito, at anong mga resulta ang nakuha nito — habang nangyayari ito. Maaari mong basahin ang intent, i-expand ang mga raw detail, at gumawa ng impormadong desisyon bago ang anumang pag-execute.

Agarang Paghinto sa Anumang Punto

Sinusuri ng Caiioo ang mga abort signal sa maraming punto: sa pagitan ng mga tool execution, habang naghihintay ng pag-apruba, at sa loob ng mga long-running operation. Pindutin ang stop at hihinto ang agent, lilinisin ang mga pending na approval, at isasara ang anumang aktibong browser session. Walang mga orphaned process, walang runaway execution.

Walang Centralized Gateway

Ang Caiioo ay walang katumbas ng Gateway ng OpenClaw. Ang iyong device ay direktang nakikipag-usap sa AI provider na pipiliin mo — Anthropic, Google, OpenRouter, Ollama, o anumang iba pa. Hindi kailanman ini-intercept, pino-proxy, o iniimbak ng Caiioo ang iyong mga API call. Walang single point of compromise na makakakuha ng lahat ng iyong credential.

Credential Isolation sa Disenyo

Ang mga API key ay nakaimbak sa secure storage ng browser (o Keychain sa macOS/iOS) — hindi sa mga plaintext na config file. Ang mga tool ay may access lamang sa mga credential na kailangan nila. Walang shared global context kung saan ang isang tool ay maaaring makabasa ng mga secret ng ibang tool.

Subukan ang Caiioo

Kung sinusuri mo ang mga AI agent para sa propesyonal na paggamit, ang tanong ay hindi kung malakas ang isang agent — kundi kung mapagkakatiwalaan mo ba ito. Binibigyan ka ng Caiioo ng parehong mga kakayahan ng AI na may mga kontrol sa pag-apruba, real-time na transparency, at isang arkitektura na hindi gumagawa ng iisang punto ng pagkakamali.

Magsimula nang FREE — available bilang extension sa browser, native na macOS app, at desktop app para sa Windows at Linux.

---

Mga Sanggunian:

• Times of India: Salesforce CEO Marc Benioff sa OpenClaw
• Finexus: Salesforce Kinuwestiyon ang Enterprise Readiness ng OpenClaw
• Clawdbytes: Salesforce CEO Tinawag na Hindi Mapagkakatiwalaan ang OpenClaw