Sårbarheten ”ClawJacked” är ett av de allvarligaste fallen av säkerhetsrisker för moderna AI-agenter hittills. Den visar på ett dramatiskt sätt hur farligt det kan bli när AI-agenter som är djupt integrerade i företagsprocesser förlitar sig på felaktiga antaganden om tillit. Ett enda besök på en webbplats kan räcka för att helt kompromettera OpenClaw. Den här artikeln förklarar varför sårbarheten är så kritisk, hur attacken fungerar och vilka åtgärder organisationer bör vidta omedelbart.
1. Varför sårbarheten ClawJacked är en väckarklocka för IT-chefer
I en tid av ökande automatisering genom AI-agenter som OpenClaw förlitar sig organisationer på att dessa system fungerar säkert, skyddar data och utför processer på ett tillförlitligt sätt. Men den nyligen upptäckta sårbarheten ClawJacked visar hur snabbt denna föreställning kan raseras.
En ofarlig webbläsarsession räckte för att ge angripare obemärkt administratörsåtkomst till lokala OpenClaw-instanser. Genom att helt kompromettera agenten kunde känslig data extraheras, anslutna system manipuleras och kommandon utföras.
Händelsen fungerar som en allvarlig varning: attackytan förändras och AI-agenter blir alltmer ett mål. Organisationer måste behandla dessa system som kritisk infrastruktur vars skydd måste vara en högsta prioritet.
2. Hur OpenClaw är uppbyggt och var sårbarheten har sitt ursprung
För att förstå hur allvarlig sårbarheten är, är det värt att titta på hur OpenClaw är uppbyggt. OpenClaw är ett lokalt körbart AI-agentramverk som kommunicerar via en gateway. Denna gateway koordinerar autentisering, filer, loggar, chatt-sessioner och anslutningar till så kallade ”noder”, det vill säga enheter eller tjänster som utför uppgifter.
Kärnan i problemet:
Gatewayen ansluter som standard till localhost och antar att lokala anslutningar är tillförlitliga. Samtidigt blockerar webbläsare inte WebSocket-anslutningar till localhost eftersom de tekniskt sett betraktas som lokal kommunikation.
Resultatet är en farlig designfel: alla webbplatser som en användare besöker kan i bakgrunden öppna en WebSocket-anslutning till OpenClaw-gatewayen utan synliga indikationer eller säkerhetsvarningar. Denna tysta kommunikation utgjorde grunden för ClawJacked-attackkedjan.
3. Steg för steg genom den tysta övertagandet
Själva attacken är lika förrädisk som enkel, vilket är precis vad som gör den så farlig. Hela komprometteringen sker inom några sekunder:
Steg 1: Besöka en förberedd webbplats
Ett offer öppnar en manipulerad sida. Ingen nedladdning, inget klick – ett enda JavaScript räcker.
Steg 2: Dold WebSocket-anslutning till localhost
Sidan upprättar en anslutning till OpenClaw-gatewayen helt tyst.
Steg 3: Brute-force-attack utan hastighetsbegränsning
Även om OpenClaw normalt tillämpar hastighetsbegränsning gällde detta inte för localhost. Angriparen kunde därför göra hundratals lösenordsförsök per sekund. Ett lösenord som valts av en människa har ingen chans under sådana förhållanden.
Steg 4: Automatisk godkännande av enhet
När skriptet har knäckt lösenordet registrerar det sig som en ”ny enhet”.
Istället för att kräva bekräftelse från användaren godkänner OpenClaw automatiskt lokala enheter.
Steg 5: Full åtkomst
Från och med nu blir allt möjligt:
- Åtkomst till lagrade inloggningsuppgifter
- Läs loggar och konfigurationer
- Lista anslutna enheter
- Kör shell-kommandon
- Sök meddelandeinnehåll
- Exfiltrera alla filer
Ett komplett systemkompromiss orsakat av en enda webbplats.
4. Inverkan på organisationer: Från dataläckage till fullständig systemkompromettering
För organisationer är ClawJacked inte bara en teknisk sårbarhet, utan ett potentiellt värsta scenario.
OpenClaw-agenter interagerar ofta med:
- Dokumenthanteringssystem
- Molnplattformar
- Meddelandeverktyg
- IT-automatiseringar
- DevOps-pipelines
- Interna applikationer
Om en angripare kan kontrollera dessa system via OpenClaw uppstår en rad risker, bland annat:
- Industrispionage genom dumpning av inloggningsuppgifter
- Komprometterade IT-automatiseringar som utför kommandon obemärkt
- Manipulering av loggar och konfigurationer
- Utvidgning till andra enheter inom samma miljö
- Dataexfiltrering från molntjänster
I praktiken innebär detta:
En enda webbläsarsession kan räcka för att utsätta ett helt företagsnätverk för risk.
5. Leverantörens svar och tekniska motåtgärder
Efter att sårbarheten blev känd reagerade OpenClaw snabbt och implementerade kritiska skyddsmekanismer i version 2026.2.26. De viktigaste åtgärderna inkluderar:
Förbättrade säkerhetskontroller
- Strängare ursprungskontroller för WebSocket-anslutningar
- Återaktiverad hastighetsbegränsning för localhost
- Borttagning av automatisk enhetsgodkännande för lokala webbläsarklienter
- Ytterligare skyddsmekanismer mot session hijacking
Rekommenderade omedelbara åtgärder för dig
Organisationer bör omedelbart:
- Uppdatera OpenClaw till version 2026.2.26 eller senare.
- Granska befintliga registrerade enheter, särskilt lokala webbläsarklienter.
- Ändra lösenord för gatewayen
- Uppdatera brandväggsreglerna för att begränsa åtkomsten till localhost
- Minimera agentbehörigheter enligt principen om minsta möjliga behörighet
Dessa åtgärder är nödvändiga för att säkra befintliga installationer.
Slutsats
Den sårbarhet som utnyttjades i OpenClaw visar tydligt hur sårbara moderna AI-agentsystem kan bli även genom till synes ofarliga interaktioner, såsom att bara besöka en webbplats. Organisationer måste inse att agenter som OpenClaw inte längre bara är verktyg utan kritiska infrastrukturkomponenter vars skydd måste vara en högsta prioritet. Särskilt alarmerande är hur grundläggande förtroendeantaganden, såsom tron att localhost är inneboende säkert, kunde bli en attackväg. Incidenten gör det tydligt att säkerhetsarkitekturen aldrig kan betraktas som statisk utan måste kontinuerligt ifrågasättas och stärkas. De uppdateringar som nu tillhandahålls av leverantören är ett viktigt steg, men de ersätter inte behovet av en holistisk säkerhetsstrategi. Organisationer bör därför inte bara patcha system utan också kritiskt granska hela sina agentarbetsflöden, behörighetsstrukturer och nätverksgränser. Fallet ”ClawJacked” belyser en viktig lärdom: säkerhet i en tid präglad av autonoma AI-system kräver ett fundamentalt skifte i tänkesätt, bort från implicit förtroende och mot en robust, konsekvent tillämpad Zero Trust-arkitektur. Endast detta tillvägagångssätt kan förhindra att enskilda sårbarheter eskalerar till systemomfattande katastrofer. Lärdomen är tydlig: organisationer som tar AI-automatisering på allvar måste ta säkerhet på lika stort allvar.