Sikkerhedsfirmaet Endor Labs har afsløret seks nye sårbarheder i OpenClaw — den populære open source-platform til personlige AI-agenter. Fejlene spænder fra server-side request forgery (SSRF) til manglende webhook-autentificering og path traversal, og flere har fået CVSS-scores på 7.5-7.6 (høj alvorlighed).
For de tusindvis af udviklere og teknikentusiaster der kører OpenClaw på egen hardware, er budskabet klart: opdatér til version 2026.2.25 eller nyere med det samme.
De seks OpenClaw sårbarheder i detaljer
Endor Labs fandt sårbarhederne ved hjælp af deres AI-baserede SAST-engine (Static Application Security Testing), der kan spore dataflows på tværs af OpenClaws flerlagsarkitektur. Her er de seks fejl:
- CVE-2026-26322 — SSRF i Gateway-værktøjet (CVSS 7.6). En angriber kan manipulere
gatewayUrl-parameteren til at åbne WebSocket-forbindelser til vilkårlige servere. - CVE-2026-26319 — Manglende Telnyx webhook-autentificering (CVSS 7.5). Webhooks kunne modtages uden signaturverificering.
- CVE-2026-26329 — Path traversal i browser-upload (høj alvorlighed). Filnavne blev ikke valideret, hvilket muliggjorde skrivning uden for tilladte mapper.
- GHSA-56f2-hvwg-5743 — SSRF i image-værktøjet (CVSS 7.6). Samme type sårbarhed som Gateway-fejlen, men i billedbehandlingsdelen.
- GHSA-pg2v-8xwh-qhcc — SSRF i Urbit-autentificering (CVSS 6.5, moderat).
- GHSA-c37p-4qqg-3p76 — Twilio webhook-autentificeringsbypass (CVSS 6.5, moderat).
Hvorfor AI-agenter kræver en ny sikkerhedstilgang
Det interessante ved Endor Labs’ fund er ikke bare de konkrete fejl — det er hvad de afslører om AI-agent-sikkerhed generelt. Traditionelle SAST-værktøjer er designet til at scanne webapplikationer, men OpenClaws arkitektur introducerer helt nye angrebsflader:
- LLM-output som angrebsvektor: Når en sprogmodel genererer parametre, der sendes videre til systemkald, opstår en ny type trust boundary. Det er præcis sådan SSRF-sårbarhederne blev mulige.
- Konfigurationsværdier er ikke sikre: Flere af fejlene udnyttede, at konfigurationsparametre — ikke bare brugerinput — flød ukontrolleret til farlige operationer.
- Validering skal ske i hvert lag: Endor Labs understreger, at flere sårbarheder eksisterede fordi validering manglede på alle niveauer, ikke bare ét.
Som vi tidligere har beskrevet i forbindelse med OpenClaw 2026.2.23-opdateringen, er sikkerhed blevet det dominerende tema for personal agent-platforme i 2026. Og MIT’s nylige studie bekræfter, at AI-agenter generelt mangler tilstrækkelig kontrol.
Hvad du skal gøre nu
Hvis du kører OpenClaw — hvad enten det er på en Proxmox-container, en Raspberry Pi eller i Docker — bør du tage disse skridt:
- Opdatér til mindst version 2026.2.25 — alle seks OpenClaw sårbarheder er patchet i denne version.
- Kør aldrig OpenClaw direkte eksponeret mod internettet — en SecurityScorecard-rapport afslørede fornylig titusindvis af fejlkonfigurerede instanser på det åbne internet.
- Isolér din instans i en container eller VM. Hvis en angriber udnytter en SSRF-sårbarhed, begrænser isolation skaden.
- Gennemgå dine installerede skills — ondsindede plugins på ClawHub er en reel trussel, og infostealere retter sig allerede mod OpenClaw-agenter.
OpenClaw er et fantastisk værktøj til at køre personlige AI-agenter, men med stor kraft følger stort ansvar. Endor Labs’ forskning viser, at selv veldesignede open source-projekter har blinde vinkler — og at vi som brugere ikke bare kan antage, at vores agent er sikker, fordi den kører lokalt.
Denne artikel er skrevet i samarbejde med AI, og efterfølgende redigeret af et rigtigt menneske 🙂
