Sammanfattning: OpenClaw (tidigare Clawdbot/Moltbot) är ett agentbaserat AI-ramverk med öppen källkod som har över 247 000 stjärnor på GitHub och dokumenterade säkerhetsbrister. CVE-2026-25253 (CVSS 8,8) avslöjade en kedja för fjärrkörning av kod med ett enda klick. Snyk fann att 36 % av ClawHub-funktionerna innehåller promptinjektion. SecurityScorecard identifierade över 135 000 instanser som var exponerade för det offentliga internet. Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos och Trend Micro har alla publicerat säkerhetsmeddelanden. Kina har förbjudit det inom statliga myndigheter. Om din organisation utvärderar agentbaserad AI måste du först förstå dessa risker.

Vad är OpenClaw?

OpenClaw är ett kostnadsfritt ramverk för AI-agenter med öppen källkod som skapats av den österrikiske utvecklaren Peter Steinberger. Det körs lokalt på användarens dator och ansluter till stora språkmodeller (LLM) som Claude, GPT eller DeepSeek via meddelandeplattformar som WhatsApp, Telegram, Slack, Discord och andra.

Fördelarna är uppenbara. Man ber OpenClaw att organisera inkorgen, boka flyg, hantera kalendrar eller utföra terminalkommandon, och det gör det. Steinberger beskriver det som en AI som ”faktiskt gör saker”. Agenten delar upp uppgifterna i steg, väljer rätt verktyg och utför dem med minimal övervakning.

Det är också därför det är farligt i ett företagssammanhang. OpenClaw lagrar konfigurationsdata och interaktionshistorik lokalt, behåller data mellan sessioner och kan komma åt e-postkonton, kalendrar, meddelandeplattformar och lokala filsystem. Om det är felkonfigurerat (vilket var standardinställningen fram till januari 2026) skapas en körmiljö med utökade behörigheter som säkerhetsteamen varken kan se eller kontrollera.

Säkerhetsproblemen: En tidslinje

Säkerhetsproblemen med OpenClaw är inte bara teoretiska. De har dokumenterats av nästan alla större leverantörer av cybersäkerhetslösningar under de senaste sex veckorna.

CVE-2026-25253: Fjärrkörning av kod med ett enda klick (CVSS 8,8)

Denna sårbarhet, som upptäcktes av forskaren Mav Levin och åtgärdades den 30 januari 2026, utnyttjade en konstruktionsfel i kontrollgränssnittets hantering av gatewayUrl frågeparameter. Som Detaljer om Kasperskys analys, accepterade gränssnittet denna parameter utan validering och inledde automatiskt en WebSocket-anslutning, varvid användarens autentiseringstoken överfördes under handskakningen.

Attackkedjan genomfördes på några millisekunder: först stals autentiseringsuppgifterna, sedan kom gatewayen att helt komprometteras. En angripare kunde köra godtyckliga kommandon på offrets dator. Till och med instanser som var begränsade till localhost kunde utnyttjas.

ClawHub – Manipulation av kompetensförsörjningskedjan

Conscias säkerhetsanalys upptäckte 341 skadliga skript på ClawHub inom några veckor efter OpenClaws explosionsartade spridning (12 % av registret vid den tidpunkten), vilka främst spred skadlig programvara av typen Atomic macOS Stealer. Uppdaterade genomsökningar visade att antalet hade ökat till över 800 skadliga skript, vilket motsvarar ungefär 20 % av alla inlämnade bidrag.

Färdigheter i OpenClaw är inte skript i en isolerad miljö. De är körbara kodpaket som körs med samma behörigheter som själva agenten. En skadlig färdighet hann till och med dyka upp på ClawHubs förstasida innan den togs bort.

Snyk ToxicSkills-granskning

Snyks granskning av ClawHub visade att 36 % av alla funktioner innehåller spårbar promptinjektion. Av de bekräftade skadliga exemplen kombinerar 91 % promptinjektion med traditionella skadlig kod-tekniker, vilket gör att de kringgår både AI-säkerhetsmekanismer och konventionell slutpunktssäkerhet.

2,9 % av färdigheterna hämtar och kör innehåll från externa slutpunkter dynamiskt under körning. Den publicerade färdigheten verkar ofarlig vid granskning, men angripare kan när som helst ändra dess beteende genom att uppdatera det inbäddade innehållet.

Över 135 000 utsatta instanser

SecurityScorecards STRIKE-team har identifierat över 135 000 instanser av OpenClaw som är exponerade mot det öppna internet i 82 länder. Många av dessa kördes utan autentisering, vilket var standardkonfigurationen före version 2026.1.29.

Kinas regeringsförbud

I mars 2026 förbjöd de kinesiska myndigheterna statliga företag och myndigheter att använda OpenClaw på kontorsdatorer. CNCERT utfärdade en formell varning om plattformens bristfälliga standardinställningar för säkerhet och riskerna för promptinjektion.

Den dödliga treenigheten: Varför AI-agenter innebär en strukturell risk

Säkerhetsforskaren Simon Willison myntade begreppet ”dödlig trippel” för att beskriva den kombination som gör agentbaserad AI farlig. OpenClaw uppfyller alla tre kriterierna:

  • Åtkomst till privata data: OpenClaw läser filer, e-postmeddelanden, kalendrar och inloggningsuppgifter på värddatorn.
  • Exponering för opålitligt innehåll: Agenten tar emot meddelanden via chattappar, surfar på webbsidor och bearbetar extern data på egen hand.
  • Behörighet: OpenClaw kan skicka e-postmeddelanden, göra API , köra shell-kommandon och ändra filer.

Sophos CISO uttryckte det rakt på sak: en attack med omedelbar injektion kan vara så enkel som att skicka ett meddelande till ett e-postkonto som styrs av en agent och be den att svara med innehållet i din lösenordshanterare. Den som kan skicka meddelanden till agenten får i praktiken samma behörigheter som agenten har.

Microsofts blog var ännu mer direkt: OpenClaw bör betraktas som ”körning av opålitlig kod med bestående inloggningsuppgifter”.

Problemet med skugg-AI

Den verkliga risken för företaget är inte att någon officiellt implementerar OpenClaw. Det är att anställda installerar det på sina egna datorer utan IT-avdelningens vetskap.

Bitdefenders telemetridata bekräftar att detta redan sker: anställda installerar OpenClaw på företagets enheter med hjälp av enkla installationskommandon, utan någon säkerhetsgranskning och utan att säkerhetsoperationscentret (SOC) har insyn i detta. Trend Micro konstaterar att många organisationer kör OpenClaw utan godkännande från IT-avdelningen, och den första utmaningen för säkerhetsteamen är helt enkelt att få reda på vad som finns där.

CyberArk betraktar detta som en ny attackyta inom identitetssäkerheten. En utvecklare som ansluter till sin OpenClaw-miljö från en företagsdator, eller som installerar den inom företagsnätverket för att integrera den med Slack eller Salesforce, skapar en ingång där autonoma agenter verkar utanför de traditionella kontrollerna för identitets- och åtkomsthantering.

Kaspersky gick så långt som att kalla OpenClaw ”det största insiderhotet 2026”.

Kan OpenClaw säkras för användning i företagsmiljö?

OpenClaw har släppt omfattande säkerhetsuppdateringar sedan de första upptäckterna. I version 2026.2.12 åtgärdades över 40 sårbarheter. I version 2026.2.23 infördes HTTP-säkerhetsrubriker, förstärkt sessionshantering och webbläsarens SSRF-policy ändrades till standardläget ”trusted-network”.

Men den grundläggande arkitektoniska utmaningen kvarstår. OpenClaw är utformat som ett personligt verktyg med en enda gräns för betrodda användare. Dess egen utvecklare varnade på Discord: ”Om du inte förstår hur man använder kommandoraden är det här ett alldeles för farligt projekt för att du ska kunna använda det på ett säkert sätt.”

Sophos analys kom fram till följande slutsats: OpenClaw bör betraktas som ett intressant forskningsprojekt som endast kan köras ”säkert” i en engångssandlåda utan tillgång till känslig data. Även organisationer med gedigen erfarenhet av AI och säkerhet kommer att finna det svårt att konfigurera OpenClaw på ett sätt som minskar risken för intrång samtidigt som produktivitetsvärdet bibehålls.

Vad företag bör göra istället

Efterfrågan på OpenClaw är påtaglig. Företagen vill ha AI-agenter som utför uppgifter, får tillgång till företagsdata och fungerar över olika kommunikationskanaler. Misstaget är att försöka få dessa funktioner från ett verktyg som är utvecklat för enskilda utvecklare.

Agentbaserade AI-plattformar av företagsklass löser samma problem genom att de redan från början är utrustade med inbyggda säkerhetsmekanismer. Här är vad du bör leta efter:

  • Centraliserad styrning: Rollbaserade åtkomstkontroller, revisionsspår och administratörspaneler som gör det möjligt för IT-avdelningen att se exakt vad agenterna gör.
  • Dataisolering: Företagsdata lagras på infrastruktur som ni kontrollerar (helst på servrar som är placerade inom EU och uppfyller GDPR-kraven) och används aldrig för modellträning.
  • Säkerhetscertifieringar: SOC 2, ISO 27001 och efterlevnad av EU:s AI-lagstiftning som grundläggande krav.
  • Åtkomst till flera modeller utan hantering av API : Få tillgång till GPT, Claude, Gemini och andra modeller via en hanterad gateway, så att ditt team aldrig behöver hantera obearbetade API .
  • Agentutveckling utan kodning: Team utan teknisk kompetens ska kunna skapa och driftsätta agenter utan att behöva använda kommandoraden.
  • Anslutningskontroller: Detaljerade behörigheter för vad agenter får läsa, skriva eller uppdatera i CRM-system, CMS-system, Slack, Teams och andra tredjepartssystem.

TextCortex: Säker AI-infrastruktur för företag

TextCortex skapades just för detta scenario. Det är en EU-baserad AI-infrastrukturplattform för företag där organisationer kan distribuera och styra AI-agenter på sina egna företagsdata. Plattformen ansluter till tredjepartssystem som CRM- och CMS-system och distribueras till arbetsplatsappar som Slack och Microsoft Teams. Varje agents behörigheter kontrolleras helt av administratörer: vad den kan komma åt, skriva eller uppdatera ligger alltid i användarens händer.

Säkerhetscertifieringar: ISO 27001, SOC 2 Typ II, GDPR-kompatibel, EU:s AI-lagstiftning. All data lagras på infrastruktur som är hostad inom EU. Ingen data används någonsin för modellträning. Fullständig säkerhetsdokumentation finns på trust.textcortex.com.

TextCortex program för TextCortex och efterlevnad
TextCortex övervakade reglage

MAHLE (DAX 40-noterat underleverantör till bilindustrin) implementerade TextCortex nådde en användningsgrad på 65 % på mindre än en månad, vilket innebar en tidsbesparing på över 5 timmar per vecka och användare, där agenterna kördes på SharePoint-data. b2venture (riskkapitalbolag med över 800 miljoner euro i förvaltat kapital) upplevde en sjufaldig ökning av AI-användningen inom sitt investeringsteam med över 10 specialiserade agenter.

Vanliga frågor och svar

Är OpenClaw säkert för användning i företag?

Enligt säkerhetsbedömningar från Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos och Trend Micro: nej, inte i sin nuvarande form. OpenClaw är utformat som ett personligt verktyg med en enda gräns för betrodda användare. Microsoft rekommenderar att man behandlar det som körning av icke-betrodd kod, och Sophos menar att det endast bör köras i engångssandlådor utan åtkomst till känslig data.

Vad är CVE-2026-25253?

En kritisk sårbarhet (CVSS 8,8) i OpenClaws kontrollgränssnitt som möjliggjorde fjärrkörning av kod med ett enda klick. Sårbarheten gjorde det möjligt för angripare att stjäla autentiseringstoken genom att skapa en skadlig URL och därefter ta full kontroll över gatewayen. Den åtgärdades i version 2026.1.29 den 30 januari 2026.

Vad är den ”dödliga treenigheten” inom säkerheten för AI-agenter?

Ett begrepp myntat av säkerhetsforskaren Simon Willison som beskriver de tre egenskaper som gör AI-agenter farliga när de kombineras: tillgång till privata uppgifter, exponering för opålitligt innehåll och befogenhet att agera på användarens vägnar. OpenClaw uppvisar alla tre.

Kan jag låsa OpenClaw för företagsanvändning?

Du kan förbättra säkerheten genom att aktivera autentisering, begränsa filsystemets räckvidd, inaktivera omfattande terminaltillstånd, köra det i isolerade virtuella maskiner och granska alla anslutna tjänster. Men den grundläggande utmaningen (inmatning av kommandorader mot agenter som bearbetar opålitligt innehåll) går inte att åtgärda med en enkel uppdatering. Det kräver styrning på plattformsnivå.

Vad är ett säkrare alternativ till OpenClaw för företag?

AI-plattformar för företag som TextCortex erbjuder samma agentfunktioner (uppgiftsutförande, integration av kunskapsbaser, distribution via flera kanaler) med centraliserad styrning, SOC 2- och ISO 27001-certifiering, GDPR-kompatibel hosting inom EU samt administratörskontroller över agentbehörigheter.

Varför förbjöd Kina OpenClaw?

I mars 2026 införde de kinesiska myndigheterna ett förbud mot att statliga myndigheter och statligt ägda företag använder OpenClaw på sina kontorsdatorer. CNCERT hänvisade till plattformens bristfälliga standardinställningar för säkerhet och riskerna med promptinjektion, vilket kan leda till dataläckage.