Bezpečnostní skóre 2 ze 100. Úspěšnost prompt injection útoků 91 procent. 512 nalezených zranitelností, z toho 8 kritických. 341 škodlivých rozšíření na oficiálním marketplace. A 42 000 instancí vystavených do internetu bez jakéhokoliv zabezpečení. Tohle jsou reálná čísla o OpenClaw z auditů Kaspersky, ZeroLeaks a Koi Security. Než připojíte svého agenta k WhatsAppu, emailu nebo firemnímu Slacku, potřebujete vědět, do čeho jdete. Tohle je nejdůležitější díl celého seriálu.
Vítejte u 1. dílu seriálu OpenClaw: Kompletní průvodce. Stavíme bezpečnou AI agent infrastrukturu na vlastním hardware, krok za krokem.
V prvním díle jsem představil OpenClaw jako nejzajímavější AI agent framework roku 2026. Teď přichází studená sprcha. Většina tutoriálů na YouTube vám ukáže, jak OpenClaw nainstalovat a připojit k Telegramu za deset minut. Bezpečnost řeší v posledním díle, pokud vůbec.
Já to dělám obráceně. Protože jsem viděl, co se stane, když to neuděláte.
Proč bezpečnost jako první díl
Když stavíte dům, nezačínáte střechou. Začínáte základy. U AI agenta jsou základy bezpečnost. Pokud váš agent má přístup k vašim emailům, souborům a messaging platformám, jakákoliv zranitelnost znamená, že útočník má přístup ke všemu, co má agent.
OpenClaw v default konfiguraci nemá žádnou autentizaci. Gateway dashboard (port 18789) je přístupný komukoli, kdo zná vaši IP adresu. API klíče leží v plaintext konfiguračních souborech. Porty jsou otevřené na 0.0.0.0, tedy na všech síťových rozhraních. A persistentní paměť, ta úžasná funkce z úvodního dílu, je zároveň vektor pro časově zpožděné prompt injection útoky.
Nechci vás vystrašit. Chci, abyste věděli, na čem stojíte. A pak to společně opravíme.
Co říkají bezpečnostní firmy
Než se pustíme do konkrétních zranitelností, podívejme se na celkový obrázek. Protože to, co říkají přední bezpečnostní firmy, je alarmující.
Kaspersky provedl v lednu 2026 audit a našel 512 zranitelností, z toho 8 kritických. Svůj článek tituloval jednoznačně: New OpenClaw AI agent found unsafe for use.
Cisco popsal OpenClaw jako „an absolute nightmare“ z bezpečnostního hlediska. Shell příkazy, plaintext API klíče, messaging attack surface na deseti a více platformách.
Trend Micro upozornil, že neomezená konfigurovatelnost dramaticky zvyšuje existující rizika. A Penligent nazval self-hosted AI „double-edged sword“, protože agentic hijacking funguje přes přirozený jazyk.
Bezpečnostní scanner ZeroLeaks dal OpenClaw skóre 2 ze 100 (testováno s Gemini 3 Pro). S Claude Opus 4.5 vyšlo 39 ze 100, což je lepší, ale stále katastrofální. 91 % prompt injection technik bylo úspěšných. 84 % pokusů o extrakci dat uspělo. Agent prozradil svůj system prompt hned při první interakci.
Dvě kritické zranitelnosti
CVE-2026-25253: Jedno kliknutí a máte RCE
V únoru 2026 zveřejnili výzkumníci z DepthFirst kritickou zranitelnost s CVSS skóre 8.8. Princip je jednoduchý a děsivý.
OpenClaw Control UI akceptuje parametr gatewayUrl přímo z URL adresy. Když vám někdo pošle odkaz typu ?gatewayUrl=attacker.com/ws, váš prohlížeč naváže WebSocket spojení na útočníkův server a automaticky odešle váš autentizační token. Bez potvrzení, bez varování. Útočník pak má operator-level přístup k vašemu OpenClaw a může spouštět libovolné příkazy.
Nejhorší část: funguje to i když OpenClaw běží na localhost. Prohlížeč oběti se stává mostem do lokální sítě. Firewall vás neochrání.
Oprava existuje od verze 2026.1.29. Ale kolik lidí z těch 42 tisíc exponovaných instancí aktualizovalo?
CVE-2026-22708: Memory poisoning
Druhá kritická zranitelnost zasahuje přímo do toho, co dělá OpenClaw unikátním. Persistentní paměť. OpenClaw nesanitizuje vstupní data před vložením do kontextu LLM. To znamená, že útočník může vložit škodlivou instrukci do emailu, webové stránky nebo kalendářové pozvánky. Agent ji zpracuje a uloží do paměti. Instrukce zůstane neaktivní den, týden, měsíc. A aktivuje se, když uživatel položí specifický dotaz.
Výzkumníci z Lakera demonstrovali, jak zpráva v Discord chatu vedla přes memory poisoning až k reverse shellu. Od chatu k plnému přístupu k systému.
ClawHavoc: Malware na oficiálním marketplace
341 škodlivých skills na ClawHub marketplace. To není hypotetický scénář. To je výsledek auditu Koi Security, která prošla 2 857 skills na oficiálním marketplace.
335 z těch 341 patřilo do koordinované kampaně ClawHavoc a distribuovalo Atomic Stealer (AMOS), malware cílený specificky na macOS. Kradl browser credentials, Keychain hesla, krypto peněženky, SSH klíče a Telegram sessions. Útočníci věděli, že uživatelé OpenClaw kupují Mac Mini a Mac Studio pro AI. Přesně na ně cílili.
The Hacker News a The Register pokryli případ detailně. Poučení je jasné: žádné skills z marketplace bez ručního code review.
OWASP Top 10 pro LLM: Kde se OpenClaw prohřešuje
OWASP vydal v roce 2025 Top 10 rizik pro LLM aplikace. OpenClaw out-of-the-box porušuje většinu z nich.
| # | Riziko | OpenClaw status |
|---|---|---|
| 1 | Prompt Injection | KRITICKÉ. 91 % úspěšnost dle ZeroLeaks |
| 2 | Sensitive Information Disclosure | KRITICKÉ. System prompt prozrazen při první interakci |
| 3 | Supply Chain | VYSOKÉ. 341 škodlivých skills na ClawHub |
| 5 | Improper Output Handling | VYSOKÉ. Agent může generovat a spouštět kód |
| 6 | Excessive Agency | KRITICKÉ. Agent má plný přístup k systému |
| 7 | System Prompt Leakage | VYSOKÉ. SOUL.md, AGENTS.md čitelné bez ochrany |
| 8 | Vector and Embedding Weaknesses | STŘEDNÍ. Pokud používáte RAG pipeline |
Tohle je realita. Ne strašení, ne marketing bezpečnostních firem. Jsou to ověřená čísla z nezávislých auditů.
Prompt injection: Problém, který nikdo nevyřešil
Prompt injection není bug OpenClaw. Je to fundamentální vlastnost všech LLM. Instrukce a data sdílejí stejný token stream. Model nedokáže spolehlivě rozlišit, co je legitimní příkaz od uživatele a co je škodlivá instrukce vložená do zpracovávaných dat.
Dane Stuckey, CISO OpenAI, to řekl přímo: prompt injection, stejně jako podvody a sociální inženýrství na webu, pravděpodobně nikdy nebude plně vyřešena. Anthropic snížil úspěšnost prompt injection na 1 % u prohlížečových operací s Claude Opus 4.5, ale přiznává, že žádný agent není imunní.
Proto potřebujeme architektonické obrany. Ne lepší prompty, ale designové patterny, které útok znemožní nebo omezí jeho dopad.
Simon Willison: Smrtelná trifekta
Simon Willison, autor termínu prompt injection (září 2022), definoval tři vlastnosti, které v kombinaci dělají AI agenta smrtelně zranitelným:
- Přístup k soukromým datům (paměť, soubory, konverzace)
- Vystavení nedůvěryhodnému obsahu (emaily, weby, dokumenty)
- Schopnost externě komunikovat (volání nástrojů, odesílání dat)
OpenClaw v default konfiguraci splňuje všechny tři. Je to textbook příklad smrtelné trifekty.
Meta AI: Pravidlo dvou
V říjnu 2025 publikoval tým Meta AI Agents Rule of Two. Praktický návod inspirovaný bezpečnostní politikou Chromia. AI agent by měl splňovat nejvýše dvě z těchto tří vlastností:
- Zpracování nedůvěryhodných vstupů
- Přístup k citlivým systémům a datům
- Změna stavu nebo externí komunikace
Pokud agent potřebuje všechny tři, musí fungovat pod dohledem člověka. Žádná autonomní akce nesmí kombinovat nedůvěryhodný vstup, citlivá data a externí komunikaci. V praxi to znamená rozdělit agenta na role:
| Role | A (vstup) | B (data) | C (komunikace) |
|---|---|---|---|
| Reader (čte emaily, web) | ✓ | ✓ | ✗ |
| Writer (odesílá, publikuje) | ✗ | ✓ | ✓ |
| Processor (transformuje) | ✓ | ✗ | ✓ |
Tohle je základ architektury, kterou budeme v seriálu stavět.
Obranné designové patterny
Existuje několik ověřených přístupů, jak prompt injection zmírnit.
Dual LLM (Simon Willison): Privilegovaný model řídí workflow. Karanténní model zpracovává nedůvěryhodná data, ale nemá přístup k nástrojům. I když je kompromitován, nemůže provést žádnou akci.
CaMeL (Google DeepMind, arXiv 2503.18813): LLM generuje kód v omezeném jazyce, custom interpreter vynucuje bezpečnostní politiky. V AgentDojo benchmarku neutralizoval 67 % útoků. U některých modelů snížil úspěšnost útoku na nulu.
Plan-Then-Execute: Agent naplánuje všechny kroky před kontaktem s nedůvěryhodným obsahem. Plán se validuje, teprve pak se provede. Žádné ad-hoc rozhodování za běhu.
Klíčový princip, který si zapamatujte: jakmile LLM agent přijme nedůvěryhodný vstup, musí být omezen tak, aby tento vstup nemohl spustit žádné zásadní akce.
Sandbox: Proč agent nesmí mít plný přístup
Představte si, že dáte novému zaměstnanci první den klíče od servrovny, přístup k bankovnímu účtu a root heslo k produkčním serverům. Přesně to děláte, když spustíte OpenClaw bez sandboxu.
Sandbox je izolované prostředí, kde agent běží s minimálními oprávněními. Může pracovat uvnitř svého workspace, ale nemá přístup k zbytku systému.
Docker kontejnerizace
OpenClaw od verze 2026.2.12 podporuje nativní Docker sandboxing. Režimy:
- non-main: Všechny agenti kromě defaultního běží v kontejnerech
- all: Všechno sandboxované, včetně hlavního agenta
- session/agent/shared: Granularita kontejnerů (per session, per agent, sdílený)
V kontejneru agent vidí jen svůj workspace. Když se ho zeptáte na soubory mimo sandbox, odpoví: nemám přístup, můj svět končí tady. Přesně tak to má být.
Neprivilegovaný uživatel
Na macOS vytvořte dedikovaného uživatele pro AI služby:
sudo dscl . -create /Users/aiservice
sudo dscl . -create /Users/aiservice UserShell /bin/zsh
sudo dscl . -create /Users/aiservice UniqueID 550
sudo dscl . -create /Users/aiservice PrimaryGroupID 20
sudo dscl . -create /Users/aiservice NFSHomeDirectory /Users/aiserviceVšechny AI služby (llama-server, OpenClaw gateway, ComfyUI) běží pod tímto uživatelem. Nemá přístup k vašemu home adresáři. Nemá sudo. Nemůže eskalovat oprávnění.
Síťová izolace
Žádný port na 0.0.0.0. Všechny služby bindujte na 127.0.0.1. Přístup odkudkoli řešte přes Tailscale VPN, ne přes otevřené porty do internetu.
Tailscale je zero-trust mesh VPN postavený na WireGuardu. End-to-end šifrování, point-to-point. Privátní klíče nikdy neopustí zařízení. Nainstalujete klienta na Mac Mini a na svůj telefon. Hotovo. Přístup odkudkoli, žádné porty otevřené do internetu.
Firewall pravidla jsou jednoduchá:
# /etc/pf.conf
block all
pass on lo0 all
pass on utun4 all
pass out proto udp to any port 53
pass out proto udp to any port 41641
pass out proto tcp to api.anthropic.com port 443Aktivace:
sudo pfctl -f /etc/pf.conf
sudo pfctl -eNic jiného. Pokud služba nepotřebuje mluvit s internetem, nemluví.
Supply chain: Otrávené modely na HuggingFace
Bezpečnost nekončí u samotného OpenClaw. Modely, které stahujete, mohou být záměrně otrávené.
Pillar Security zjistil, že útočníci vkládají škodlivé instrukce přímo do GGUF chat templates. HuggingFace web zobrazí čistou šablonu, ale stažený soubor obsahuje jinou verzi. Instrukce zůstávají neaktivní, dokud je specifický prompt neaktivuje. Ovlivňuje stovky tisíc GGUF souborů na HuggingFace.
Pravidla pro stahování modelů:
- Pouze GGUF nebo safetensors formát. Nikdy .pt, .bin nebo .pkl (pickle = arbitrary code execution)
- Pouze od ověřených publisherů (Unsloth, bartowski, meta-llama, Qwen oficiální, EVA-UNIT-01)
- Ověřte SHA-256 hash staženého souboru proti údajům na model card
- Zkontrolujte chat template:
llama-cli --model model.gguf --show-chat-templatea porovnejte s oficiální dokumentací - Zkontrolujte velikost: Q4_K_M pro 70B model má být 40 až 45 GB. Výrazná odchylka je podezřelá
Checklist: 10 bodů před spuštěním OpenClaw
Než připojíte OpenClaw k jakémukoliv messaging kanálu, projděte tento seznam:
- Aktualizujte na nejnovější verzi (minimálně 2026.2.12, bezpečnostní patch 40+ zranitelností)
- Všechny porty na 127.0.0.1, žádný na 0.0.0.0
- Tailscale VPN nainstalován a nakonfigurován, ACL omezené na vaše zařízení
- Firewall: default deny incoming + outgoing, povolit jen Tailscale a nezbytné API
- Dedikovaný uživatel (aiservice) pro všechny AI služby, bez sudo, bez přístupu k home
- Docker sandbox aktivní minimálně v režimu non-main
- Žádné skills z ClawHub bez ručního code review (ctrl+f: eval, os.system, subprocess, requests)
- API klíče ne v plaintext konfigu, ale přes environment variables nebo secrets manager
- Modely pouze GGUF/safetensors od ověřených publisherů, hash ověřen
- Group chaty zakázané pro agenta (private kanály nebo 1:1 konverzace)
Dokud nesplníte všech deset bodů, agent nesmí mít přístup k ničemu citlivému.
Co dál
Bezpečnost není jednorázová akce. Je to proces. V devátém díle se k ní vrátíme do hloubky, s live demo prompt injection útoku, red teamingem a pokročilými obrannými patterny. Ale základy máte teď.
V příštím díle přejdeme od teorie k praxi. Koupíme Mac studio, nainstalujeme macOS hardening, Docker, OpenClaw a zprovozníme prvního agenta. S bezpečnostním základem, který jsme právě položili.
Tohle byl nejdůležitější díl celého seriálu. Ne proto, že by byl nejzajímavější. Ale proto, že bez něj je všechno ostatní jen cesta k incidentu. Bezpečnost není paranoia. Je to hygiena. A teď, když víte na co si dát pozor, můžeme začít stavět.
Zajímá vás lokální RAG pipeline a vlastní AI modely? Podívejte se na seriál Lokální RAG chatbot.
Celý seriál OpenClaw: Kompletní průvodce
- OpenClaw Úvod) Co je OpenClaw a v čem je revoluční
- OpenClaw 1) Bezpečnost na prvním místě: Na co si dát pozor a sandbox (právě čtete)
- OpenClaw 2) Jak spustit a nastavit na vlastním HW (Mac Mini i Mac Studio)
- OpenClaw 3) Napojení Claude Code a dalších modelů (i lokální)
- OpenClaw 4) Nastavení vlastních agentů, osobnosti a náklady
- OpenClaw 5) Přidání nástrojů a dovedností (skills)
- OpenClaw 6) Kompletní nastavení autonomních agentů
- OpenClaw 7) Váš osobní asistent na všechno, 24/7
- OpenClaw 8) Mac Mini + Mac Studio: Jeden rig, kompletně lokální
- OpenClaw 9) Rizika, prompt injection, útoky a ladění
- OpenClaw 10) Digitální dvojče: Projekt od A do Z
V příštím díle přejdeme od teorie k praxi. Mac Mini M4 Pro, macOS hardening, Docker, OpenClaw a první agent. S bezpečnostním základem, který jsme právě položili.
