De seks OpenClaw s\u00e5rbarheder i detaljer<\/h2>\n\n\n\n
Endor Labs fandt s\u00e5rbarhederne ved hj\u00e6lp af deres AI-baserede SAST-engine (Static Application Security Testing), der kan spore dataflows p\u00e5 tv\u00e6rs af OpenClaws flerlagsarkitektur. Her er de seks fejl:<\/p>\n\n\n\n
- \n
- CVE-2026-26322<\/strong> \u2014 SSRF i Gateway-v\u00e6rkt\u00f8jet (CVSS 7.6). En angriber kan manipulere
gatewayUrl<\/code>-parameteren til at \u00e5bne WebSocket-forbindelser til vilk\u00e5rlige servere.<\/li>\n- CVE-2026-26319<\/strong> \u2014 Manglende Telnyx webhook-autentificering (CVSS 7.5). Webhooks kunne modtages uden signaturverificering.<\/li>\n
- CVE-2026-26329<\/strong> \u2014 Path traversal i browser-upload (h\u00f8j alvorlighed). Filnavne blev ikke valideret, hvilket muliggjorde skrivning uden for tilladte mapper.<\/li>\n
- GHSA-56f2-hvwg-5743<\/strong> \u2014 SSRF i image-v\u00e6rkt\u00f8jet (CVSS 7.6). Samme type s\u00e5rbarhed som Gateway-fejlen, men i billedbehandlingsdelen.<\/li>\n
- GHSA-pg2v-8xwh-qhcc<\/strong> \u2014 SSRF i Urbit-autentificering (CVSS 6.5, moderat).<\/li>\n
- GHSA-c37p-4qqg-3p76<\/strong> \u2014 Twilio webhook-autentificeringsbypass (CVSS 6.5, moderat).<\/li>\n<\/ul>\n\n\n\n
![\"OpenClaw](\"https:\/\/vittrup-graversen.dk\/wp-content\/uploads\/2026\/02\/openclaw-vuln-inline.jpg\")
S\u00e5rbarhederne blev fundet ved at spore dataflows fra bruger-kontrollerede inputs til farlige endpoints.<\/figcaption><\/figure>\n\n\n\n Hvorfor AI-agenter kr\u00e6ver en ny sikkerhedstilgang<\/h2>\n\n\n\n
Det interessante ved Endor Labs’ fund er ikke bare de konkrete fejl \u2014 det er hvad de afsl\u00f8rer om AI-agent-sikkerhed generelt. Traditionelle SAST-v\u00e6rkt\u00f8jer er designet til at scanne webapplikationer, men OpenClaws arkitektur introducerer helt nye angrebsflader:<\/p>\n\n\n\n
- \n
- LLM-output som angrebsvektor:<\/strong> N\u00e5r en sprogmodel genererer parametre, der sendes videre til systemkald, opst\u00e5r en ny type trust boundary. Det er pr\u00e6cis s\u00e5dan SSRF-s\u00e5rbarhederne blev mulige.<\/li>\n
- Konfigurationsv\u00e6rdier er ikke sikre:<\/strong> Flere af fejlene udnyttede, at konfigurationsparametre \u2014 ikke bare brugerinput \u2014 fl\u00f8d ukontrolleret til farlige operationer.<\/li>\n
- Validering skal ske i hvert lag:<\/strong> Endor Labs understreger, at flere s\u00e5rbarheder eksisterede fordi validering manglede p\u00e5 alle<\/em> niveauer, ikke bare \u00e9t.<\/li>\n<\/ul>\n\n\n\n
Som vi tidligere har beskrevet i forbindelse med OpenClaw 2026.2.23-opdateringen<\/a>, er sikkerhed blevet det dominerende tema for personal agent-platforme i 2026. Og MIT’s nylige studie<\/a> bekr\u00e6fter, at AI-agenter generelt mangler tilstr\u00e6kkelig kontrol.<\/p>\n\n\n\n
Hvad du skal g\u00f8re nu<\/h2>\n\n\n\n
Hvis du k\u00f8rer OpenClaw \u2014 hvad enten det er p\u00e5 en Proxmox-container, en Raspberry Pi eller i Docker \u2014 b\u00f8r du tage disse skridt:<\/p>\n\n\n\n
- \n
- Opdat\u00e9r til mindst version 2026.2.25<\/strong> \u2014 alle seks OpenClaw s\u00e5rbarheder er patchet i denne version.<\/li>\n
- K\u00f8r aldrig OpenClaw direkte eksponeret mod internettet<\/strong> \u2014 en SecurityScorecard-rapport<\/a> afsl\u00f8rede fornylig titusindvis af fejlkonfigurerede instanser p\u00e5 det \u00e5bne internet.<\/li>\n
- Isol\u00e9r din instans<\/strong> i en container eller VM. Hvis en angriber udnytter en SSRF-s\u00e5rbarhed, begr\u00e6nser isolation skaden.<\/li>\n
- Gennemg\u00e5 dine installerede skills<\/strong> \u2014 ondsindede plugins p\u00e5 ClawHub er en reel trussel, og infostealere retter sig allerede mod OpenClaw-agenter<\/a>.<\/li>\n<\/ol>\n\n\n\n
OpenClaw er et fantastisk v\u00e6rkt\u00f8j til at k\u00f8re personlige AI-agenter, men med stor kraft f\u00f8lger stort ansvar. Endor Labs’ forskning viser, at selv veldesignede open source-projekter har blinde vinkler \u2014 og at vi som brugere ikke bare kan antage, at vores agent er sikker, fordi den k\u00f8rer lokalt.<\/p>\n\n\n
Denne artikel er skrevet i samarbejde med AI, og efterf\u00f8lgende redigeret af et rigtigt menneske \ud83d\ude42<\/em><\/p>","protected":false},"excerpt":{"rendered":"
Seks nye s\u00e5rbarheder fundet i OpenClaw: SSRF og path traversal truer din AI-agent. Opdat\u00e9r nu for at beskytte dit system.<\/p>\n","protected":false},"author":1,"featured_media":634,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[24],"tags":[29],"class_list":["post-636","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-agentic-engineering","tag-personal-agents"],"acf":[],"_links":{"self":[{"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/posts\/636","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/comments?post=636"}],"version-history":[{"count":2,"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/posts\/636\/revisions"}],"predecessor-version":[{"id":1019,"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/posts\/636\/revisions\/1019"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/media\/634"}],"wp:attachment":[{"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/media?parent=636"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/categories?post=636"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vittrup-graversen.dk\/index.php\/wp-json\/wp\/v2\/tags?post=636"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- K\u00f8r aldrig OpenClaw direkte eksponeret mod internettet<\/strong> \u2014 en SecurityScorecard-rapport<\/a> afsl\u00f8rede fornylig titusindvis af fejlkonfigurerede instanser p\u00e5 det \u00e5bne internet.<\/li>\n
- Konfigurationsv\u00e6rdier er ikke sikre:<\/strong> Flere af fejlene udnyttede, at konfigurationsparametre \u2014 ikke bare brugerinput \u2014 fl\u00f8d ukontrolleret til farlige operationer.<\/li>\n
- CVE-2026-26319<\/strong> \u2014 Manglende Telnyx webhook-autentificering (CVSS 7.5). Webhooks kunne modtages uden signaturverificering.<\/li>\n