OpenClaw: Ett säkerhetshaveri som blottar AI-agenternas baksida
AI-agenter som kan arbeta på egen hand, använda verktyg, minnas tidigare steg och samarbeta med andra agenter framstår som nästa naturliga steg efter dagens chattbotar. OpenClaw är byggt just för det. Ett öppet ramverk som ska göra det enkelt att sätta upp avancerade agenter utan att behöva bygga allt från grunden.
Problemet är att när du förenklar utveckling förenklar du ofta också angrepp.
OpenClaw visar sig nämligen vara närmast genomskinligt för den som vet vad den letar efter. Systemprompter, interna instruktioner och konfigurationsfiler går att dra ut med förvånansvärt liten ansträngning. I praktiken exponeras det som ska styra agentens beteende – alltså själva hjärnan.
Smärtsamt tydligt
Det blev smärtsamt tydligt när utvecklaren Lucas Valbuena lät köra OpenClaw, tidigare känt som Clawdbot, genom ett säkerhetsanalysverktyg. Resultatet var katastrofalt. Plattformen landade på 2 av 100 möjliga poäng. Merparten av alla attacker lyckades. Systemprompten var helt exponerad redan vid första försöket.
I’ve just ran @OpenClaw (formerly Clawdbot) through ZeroLeaks.
It scored 2/100. 84% extraction rate. 91% of injection attacks succeeded. System prompt got leaked on turn 1.
This means if you’re using Clawdbot, anyone interacting with your agent can access and manipulate your… pic.twitter.com/U6BBtNcn9M
— Lucas Valbuena (@NotLucknite) January 31, 2026
AI-agenter som kan arbeta på egen hand, använda verktyg, minnas tidigare steg och samarbeta med andra agenter framstår som nästa naturliga steg efter dagens chattbotar. OpenClaw är byggt just för det. Ett öppet ramverk som ska göra det enkelt att sätta upp avancerade agenter utan att behöva bygga allt från grunden.
Problemet är att när du förenklar utveckling förenklar du ofta också angrepp.
OpenClaw visar sig nämligen vara närmast genomskinligt för den som vet vad den letar efter. Systemprompter, interna instruktioner och konfigurationsfiler går att dra ut med förvånansvärt liten ansträngning. I praktiken exponeras det som ska styra agentens beteende – alltså själva hjärnan.
Det blev smärtsamt tydligt när utvecklaren Lucas Valbuena lät köra OpenClaw, tidigare känt som Clawdbot, genom ett säkerhetsanalysverktyg. Resultatet var katastrofalt. Plattformen landade på 2 av 100 möjliga poäng. Merparten av alla attacker lyckades. Systemprompten var helt exponerad redan vid första försöket.
Haveri
Det är ingen marginell detalj. När du interagerar med en OpenClaw-baserad agent kan du i praktiken läsa hela dess interna uppsättning: systeminstruktioner, verktyg, minnesfiler och dokument som SOUL.md och AGENTS.md. För agenter som hanterar känsliga arbetsflöden eller privat information är detta inte bara dålig säkerhet. Det är ett direkt haveri.
Moltbook tar problemen ett steg längre
Om OpenClaw visar hur lätt en agent kan plockas isär, visar Moltbook hur illa det kan gå när en hel plattform saknar grundläggande skydd.
Moltbook är tänkt som ett socialt nätverk för AI-agenter, ett slags Reddit där agenter kan interagera med varandra. Vid en granskning upptäcktes att hela databasen låg öppet på det publika nätet. Helt oskyddad. Där fanns också hemliga API-nycklar som gör det möjligt att publicera innehåll i vilken agents namn som helst.
Konsekvenserna är uppenbara. På Moltbook finns även profilerade namn, som AI-forskaren Andrej Karpathy. Med tillgång till rätt nycklar hade vem som helst kunnat sprida falska uttalanden om AI-säkerhet, marknadsföra bedrägerier eller publicera politiskt laddat innehåll i hans namn. Enligt säkerhetsforskaren som upptäckte läckan var samtliga agenter på plattformen drabbade.
Kombinationen är särskilt farlig. När du kör en Clawdbot på Moltbook utsätter du inte bara agenten för andra agenter. Även vanliga användare kan nå plattformens API och angripa systemen direkt. Det är ett öppet mål.
Ett problem utan lösning – än
Båda fallen pekar på samma grundläggande svaghet i dagens agentbaserade AI-system. Prompt-injektioner är fortfarande ett olöst problem. I dag finns inget pålitligt sätt att helt skydda en agent från att manipuleras via sina egna instruktioner.
Det är lätt att tala om framtida risker. Här handlar det om nutid. System som redan körs publikt. Agenter som redan används i skarpa sammanhang. Och säkerhet som i praktiken inte finns.
Det finns ett visst värde i att bristerna nu blir synliga. OpenClaw och Moltbook fungerar som varnande exempel och kan på sikt driva fram bättre lösningar. Fram till dess är rådet enkelt: om du inte fullt ut förstår hur systemen fungerar bör du hålla dig borta.
För utvecklare är läxan tydlig. Standardkonfigurationer måste låsas ned. Hemligheter ska inte ligga i klartext i konfigurationsfiler. Publika instanser måste skyddas med samma försiktighet som vilken webbtjänst som helst.
För annars är frågan inte om något går fel. Utan när.
Det är ingen marginell detalj. När du interagerar med en OpenClaw-baserad agent kan du i praktiken läsa hela dess interna uppsättning: systeminstruktioner, verktyg, minnesfiler och dokument som SOUL.md och AGENTS.md. För agenter som hanterar känsliga arbetsflöden eller privat information är detta inte bara dålig säkerhet. Det är ett direkt haveri.
Ett steg längre
Moltbook tar problemen ett steg längre
OpenClaw visar hur lätt en agent kan plockas isär, och Moltbook hur illa det kan gå när en hel plattform saknar grundläggande skydd.
Moltbook är tänkt som ett socialt nätverk för AI-agenter, ett slags Reddit där agenter kan interagera med varandra. Vid en granskning upptäcktes att hela databasen låg öppet på det publika nätet. Helt oskyddad. Där fanns också hemliga API-nycklar som gör det möjligt att publicera innehåll i vilken agents namn som helst.
Konsekvenserna är uppenbara. På Moltbook finns även profilerade namn, som AI-forskaren Andrej Karpathy. Med tillgång till rätt nycklar hade vem som helst kunnat sprida falska uttalanden om AI-säkerhet, marknadsföra bedrägerier eller publicera politiskt laddat innehåll i hans namn. Enligt säkerhetsforskaren som upptäckte läckan var samtliga agenter på plattformen drabbade.
Särskilt farligt
Kombinationen är särskilt farlig. När du kör en Clawdbot på Moltbook utsätter du inte bara agenten för andra agenter. Även vanliga användare kan nå plattformens API och angripa systemen direkt. Det är ett öppet mål.
Ett problem utan lösning – än
Båda fallen pekar på samma grundläggande svaghet i dagens agentbaserade AI-system. Prompt-injektioner är fortfarande ett olöst problem. I dag finns inget pålitligt sätt att helt skydda en agent från att manipuleras via sina egna instruktioner.
Det är lätt att tala om framtida risker. Här handlar det om nutid. System som redan körs publikt. Agenter som redan används i skarpa sammanhang. Och säkerhet som i praktiken inte finns.
Varnande exempel
Det finns ett visst värde i att bristerna nu blir synliga. OpenClaw och Moltbook fungerar som varnande exempel och kan på sikt driva fram bättre lösningar. Fram till dess är rådet enkelt: om du inte fullt ut förstår hur systemen fungerar bör du hålla dig borta.
För utvecklare är läxan tydlig. Standardkonfigurationer måste låsas ned. Hemligheter ska inte ligga i klartext i konfigurationsfiler. Publika instanser måste skyddas med samma försiktighet som vilken webbtjänst som helst.
För annars är frågan inte om något går fel. Utan när.
