OpenClaw, den open source personlige AI-assistent med over 215.000 GitHub-stjerner, har netop frigivet version 2026.2.23. Opdateringen er en af de mest sikkerhedsfokuserede til dato — og den lander på et tidspunkt, hvor platformen er under intens opmærksomhed fra både sikkerhedsforskere og medierne.
Sikkerhed i centrum
Den nye version adresserer flere alvorlige sårbarhedskategorier. Her er de vigtigste ændringer:
SSRF-politik skifter til “trusted-network” som standard. Tidligere kunne OpenClaw-instanser i teorien lave requests til interne netværk uden eksplicit tilladelse. Det er nu slut — private netværksadgange kræver bevidst konfiguration. Brugere med eksisterende opsætninger kan migrere med openclaw doctor --fix.
Følsomme nøgler skjules i config-snapshots. Dynamiske miljøvariabler som env.* og skills.env.* bliver nu automatisk redigeret ud af snapshots. Det betyder, at API-nøgler og tokens ikke længere risikerer at lække via konfigurationseksport.
Obfuskerede kommandoer kræver godkendelse. Hvis en agent forsøger at køre en kommando, der ser ud til at være bevidst sløret (f.eks. base64-encodede shell-kommandoer), skal brugeren nu eksplicit godkende den. Det er et vigtigt forsvar mod prompt injection-angreb.
Skills-pakker afviser symlink-escapes og XSS. Ondsindet input i HTML-output fra skills bliver nu escaped, og symlinks der forsøger at bryde ud af sandboxen, bliver blokeret.
OTEL-diagnostik renser API-nøgler. For dem der bruger OpenTelemetry til overvågning, sikrer opdateringen at credentials ikke ender i telemetri-logs.
Hvorfor det er vigtigt lige nu
Timingen er ikke tilfældig. I løbet af den seneste uge har flere historier sat fokus på OpenClaws sikkerhed: En Meta-sikkerhedsforsker rapporterede at en OpenClaw-agent løb løbsk og slettede hendes indbakke, det israelske firma Minimus fandt over 2.000 CVE’er i platformen, og CrowdStrike har tidligere advaret om risikoen ved usikrede installationer.
Med over 215.000 stjerner på GitHub og en voksende brugerbase, der kører agenter lokalt på alt fra Raspberry Pi’er til hjemmeservere, er sikkerhed ikke længere et “nice to have” — det er en nødvendighed.
AI-forbedringer: Opus 4.6 og Kilo Gateway
Udover sikkerhed bringer opdateringen også nye AI-funktioner:
- Kilo Gateway-support med Claude Opus 4.6 som standardmodel, inklusiv authentication, onboarding og cache-håndtering
- Vercel AI Gateway normaliserer nu shorthand-referencer til Claude-modeller
- Moonshot/Kimi-integration til web-søgning med forbedret citationsekstraktion
- Native video-support via Moonshot med refaktoreret URL/header-håndtering
- Per-agent parameteroverrides for cache-retention og bootstrap-caching, som reducerer prompt-invalideringer
Hvad det betyder for dig
Hvis du kører OpenClaw derhjemme — og det gør stadigt flere — bør du opdatere nu. Den nye SSRF-politik er en breaking change, så tjek din konfiguration med openclaw doctor --fix efter opdatering.
For udviklere der bygger skills og integrationer er de nye sikkerhedslag vigtige at forstå: obfuskerede kommandoer bliver fanget, symlinks afvist, og API-nøgler redigeret ud. Det er begrænsninger, men også en garanti for at din agent ikke utilsigtet eksponerer noget den ikke bør.
Den fulde changelog kan ses på GitHub.
Denne artikel er skrevet i samarbejde med AI, og efterfølgende redigeret af et rigtigt menneske 🙂
