Naslov i uvod
OpenClaw je u samo nekoliko mjeseci postao hit među developerima: „pametni pomoćnik“ koji može klikati, tipkati, čitati datoteke, upravljati Slackom ili Discordom i obavljati kupnju – sve samostalno. Najnovije otkrivene ranjivosti pokazuju tamnu stranu tog trenda. Kada alatu date gotovo administratorski pristup vašem računalu, mreži i oblačnim računima, više ne govorimo o igrački nego o visoko privilegiranom sustavu. Ako je takav sustav loše dizajniran, rezultat nije samo bug već potencijalno potpuna kompromitacija. U ovom tekstu analiziramo što se dogodilo s OpenClawom, zašto je to posebno važno za europske i hrvatske organizacije te kakvu budućnost imaju agentni AI‑alati.
Vijest ukratko
Prema pisanju Ars Technice, OpenClaw – popularni otvoreni „agentni“ AI alat, objavljen u studenom i s nekoliko stotina tisuća zvjezdica na GitHubu – nedavno je dobio zakrpe za tri ozbiljne sigurnosne ranjivosti. Najkritičnija, evidentirana kao CVE‑2026‑33579, omogućavala je svakome s najnižom razinom dozvola („pairing“) da tiho preuzme administratorska prava nad OpenClaw instancom.
Istraživači tvrtke Blink pokazali su da funkcija za odobravanje uparivanja novih uređaja uopće nije provjeravala ima li onaj koji odobrava potrebne ovlasti za dodjelu administratorskog opsega. Dodatni problem: značajan broj internetom izloženih instanci radio je bez ikakve autentikacije, pa je bilo moguće da bilo koji posjetitelj mreže zatraži uparivanje i zatim eskalira privilegije.
Zakrpe su objavljene u nedjelju, dok je službeni CVE zapis stigao tek dva dana kasnije, što je potencijalnim napadačima dalo vremenski prozor prije nego što su korisnici shvatili razmjere problema. Sigurnosni stručnjaci stoga savjetuju da korisnici OpenClawa pretpostave kompromitaciju, detaljno pregledaju logove uparivanja i ozbiljno preispitaju upotrebu ovakvih agenata.
Zašto je to važno
OpenClaw nije samo jedna loša verzija softvera; on razotkriva širi problem načina na koji se danas gradi agentni AI.
Cijela ideja OpenClawa je da model „radi umjesto vas“: reorganizira datoteke, čita dokumente, komunicira u Slacku ili na Telegramu, pristupa dijeljenim mapama, cloud servisima, pa čak i osjetljivim podacima i vjerodajnicama. Ako takav alat ima arhitektonsku grešku koja anonimnom napadaču omogućava da postane administrator, posljedica nije kvar jedne aplikacije nego otvaranje stražnjih vrata prema čitavom digitalnom okruženju korisnika ili organizacije.
Kratkoročno, od ovoga najviše koristi imaju napadači i, donekle, proizvođači sigurnosnih rješenja koji dobivaju još jedan „case study“ zašto treba biti oprezan s AI‑om. Gubitnici su oni koji su OpenClaw ozbiljno uveli u rad: startupi koji su mu dali pristup produkcijskom kodu, tvrtke koje su ga testirale na službenim laptopima spojenim na interne mreže, te pojedinci koji su ga povezali s osobnom e‑poštom i financijama.
Štetu trpi i ugled otvorene AI scene. U mnogim će IT odjelima poruka biti jednostavna: „Ako je jedan ovakav projekt opasan, zabranit ćemo ih sve.“ Takva reakcija možda nije pravedna prema kvalitetnim projektima, ali je realna.
Najdublji problem ipak je u pristupu. Previše AI alata polazi od pitanja „Što sve možemo ako dobijemo potpuni pristup?“ umjesto „Koji je najmanji skup ovlasti koji nam je stvarno potreban?“. Dok se taj mentalni sklop ne promijeni, agentni AI ostaje savršeno oruđe za napadače i vrlo rizična tehnologija za poslovanje.
Šira slika
OpenClaw je dio trenda prelaska s klasičnih chatbotova, koji predlažu radnje, na agente koji ih izvode sami. Veliki igrači poput OpenAI‑a, Googlea i mnogi startupi – od Silicijske doline do Berlina i Zagreba – rade na asistentima koji mogu samostalno surfati, otvarati tikete, upravljati cloud resursima, mijenjati konfiguracije i pisati ili implementirati kod.
Povijesno gledano, svaki put kad je softver dobio široke i trajne ovlasti, postao je prioritetna meta napada: alati za udaljeni pristup, administracijska sučelja u oblaku, upravitelji lozinki u preglednicima. Odgovor industrije bio je jasan: snažna autentikacija, višefaktorska provjera, precizno upravljanje ulogama i ovlastima, detaljni logovi i stroga segmentacija mreže.
Mnogi agentni AI alati danas te lekcije ignoriraju. Ponašaju se kao super moćne ekstenzije preglednika s vrlo malo standardiziranih ograničenja i kontrolnih točaka. Model u praksi „postaje korisnik“, umjesto da ima vlastiti, strogo ograničen identitet.
Model uparivanja u OpenClawu posebno je problematičan. Umjesto OAuth‑sličnog toka s eksplicitno navedenim i lako opozivim ovlastima, korišten je pristup „jednom odobreno, zauvijek odobreno“, uz slabu ili nikakvu autentikaciju. Kada se tome doda činjenica da je, prema Binku, velik udio instanci bio javno dostupan bez prijave, dobivamo klasičan recept: alat dizajniran za udobnost developera, korišten u okrutnom okruženju otvorenog interneta.
Sličan obrazac vidjeli smo u ranim danima IoT‑a: kamere i routeri s tvorničkim lozinkama bez automatskih nadogradnji, iz kojih su nastali veliki botneti poput Mirai‑a. OpenClaw je neka vrsta „IoT kamere“ agentne ere – zgodan i popularan, ali krajnje rizičan ako ga bez razmišljanja povežete s ključnim sustavima.
Europski i regionalni kontekst
Za Hrvatsku i ostale zemlje EU, slučaj OpenClaw je vrlo blizak onome što regulatori pokušavaju spriječiti kroz GDPR, nadolazeći Akt o umjetnoj inteligenciji i druge propise.
GDPR traži načelo smanjenja količine podataka i ograničenja svrhe: treba davati samo onaj pristup i one podatke koji su nužni za konkretan zadatak. Filozofija OpenClawa gura korisnike upravo u suprotnom smjeru: „povežite što više servisa kako bi agent mogao sve“. Kada se takav agent kompromitira, incident se rijetko tiče samo jedne aplikacije; često su pogođeni osobni podaci zaposlenika, klijenata i partnera u više različitih sustava.
Nadolazeći EU AI Act dodatno će pooštriti zahtjeve za AI‑sustave koji autonomno djeluju u poslovnim procesima. Poduzeća će morati dokazivati adekvatno upravljanje rizicima, sigurnost po dizajnu, mogućnost nadzora i jasnu sljedivost odluka. Projekti koji nisu od početka građeni s tim ciljevima teško će proći interne i eksterne revizije, osobito u sektorima poput financija, zdravstva ili javne uprave, u kojima sve više sudjeluju i hrvatske IT tvrtke.
Za domaći tech ekosustav – od startupa u Zagrebu do razvojnih timova u Splitu i Osijeku – ovo je i prilika i opomena. Prilika, jer europski klijenti traže rješenja koja ozbiljno shvaćaju sigurnost i usklađenost; opomena, jer „brzo hakiranje“ popularnog agentnog alata preko GitHuba bez dubinske analize rizika više nije prihvatljivo.
Pogled unaprijed
Što možemo očekivati u sljedećih godinu do dvije?
Kratkoročno, vjerojatno će uslijediti pooštravanje internih politika. Mnoge će organizacije zabraniti OpenClaw i slična agentna rješenja na službenim računalima, jednako kao što se nekad blokirao neregulirani cloud storage. Sigurnosni timovi zahtijevat će formalne sigurnosne recenzije i testiranja prije odobrenja bilo kojeg alata koji želi pristupiti kodu, internim dokumentima ili komunikacijskim kanalima.
Tehnički gledano, smjer je prilično jasan:
- Najmanji potrebni privilegij – agent dobiva samo nužne ovlasti, ograničene po vremenu i opsegu.
- Posebna i snažna identitet agenta – svaki agent ima vlastiti račun i uloge, ne „posuđuje“ identitet korisnika.
- Sandbox okruženja – operativni sustavi i preglednici nude kontrolirane API‑je umjesto potpunog pristupa radnoj površini i datotekama.
- Detaljna revizija – sve akcije agenta se bilježe i mogu se naknadno analizirati.
Veliki dobavljači platformi vjerojatno će preuzeti vodeću ulogu. Microsoft već integrira AI duboko u Windows i 365 ekosustav; logičan je sljedeći korak ponuditi službeni okvir za agente koji poštuje postojeće sigurnosne politike i MDM alate. Apple bi mogao napraviti isto za macOS i iOS, dok će preglednici ponuditi slične modele za web agente.
Za otvorenokodne projekte poput OpenClawa pitanje je hoće li moći napraviti skok iz entuzijastične faze u fazu „kritične infrastrukture“. To zahtijeva ne samo bolje testiranje koda, nego i drugačiji način vođenja projekta, jasne procese upravljanja ranjivostima i profesionalne sigurnosne timove.
Za hrvatske organizacije, razumna preporuka za idućih 12–24 mjeseca glasi: tretirajte svaki agentni AI koji može izvoditi radnje u vašem okruženju kao novi tip administratorskog alata. To znači ista odobrenja, iste kontrole i isti oprez kao kod bilo kojeg drugog visoko privilegiranog sustava.
Zaključak
Ranjivost u OpenClawu nije nesretna slučajnost nego logična posljedica dizajna u kojemu nesavršeni AI‑model dobiva gotovo potpunu kontrolu bez odgovarajućeg sigurnosnog okvira. Dok agentni AI‑alati ne počnu dosljedno primjenjivati principe najmanjeg privilegija, snažne autentikacije i upravljanja identitetima, nemaju što tražiti na računalima koja pristupaju osjetljivim osobnim ili poslovnim podacima. Prije nego što sljedeći put instalirate „čarobnog“ AI‑agenta, zapitajte se: biste li istu razinu pristupa, uz jednako malo nadzora, dali pripravniku prvog dana na poslu? Ako ne biste, zašto biste je dali LLM‑u?
