साइबर सुरक्षा फर्म CertiK के अनुसार, OpenClaw जैसे एआई असिस्टेंट का व्यापक एकीकरण गंभीर सुरक्षा जोखिम पैदा करता है, जो उपयोगकर्ताओं को अनधिकृत कार्रवाइयों, डेटा के उजागर होने, सिस्टम में सेंध और क्रिप्टो वॉलेट के खाली होने के लिए संवेदनशील बनाता है।
OpenClaw एक स्व-होस्टेड एआई एजेंट है जो व्हाट्सएप, स्लैक और टेलीग्राम जैसे मैसेजिंग प्लेटफॉर्म के साथ एकीकृत होता है और उपयोगकर्ताओं के कंप्यूटर पर स्वायत्त रूप से कार्य कर सकता है, जैसे ईमेल, कैलेंडर और फ़ाइलों का प्रबंधन।
Openclaw.vps के अनुसार, प्लेटफॉर्म के लगभग 2 मिलियन सक्रिय मासिक उपयोगकर्ता होने का अनुमान है। नवंबर में हुए मैककिंसे के एक अध्ययन से पता चला है कि 62% सर्वेक्षण उत्तरदाताओं ने कहा कि उनके संगठन पहले से ही एआई एजेंटों के साथ प्रयोग कर रहे थे।
हालांकि, CertiK चेतावनी देता है कि यह "बड़े पैमाने पर प्राथमिक आपूर्ति श्रृंखला हमला वेक्टर" बन गया है।
OpenClaw नवंबर 2025 में लॉन्च हुए Clawdbot नामक एक साइड प्रोजेक्ट से बढ़कर 300,000 से अधिक गिटहब स्टार्स तक पहुंच गया, जो डेवलपर प्लेटफॉर्म पर एक बुकमार्किंग या "लाइक" सुविधा है, जो लोकप्रियता में वृद्धि का संकेत देता है, लेकिन इस प्रक्रिया में गंभीर "सुरक्षा ऋण" जमा हुआ है, CertiK ने नोट किया।
हालांकि, लॉन्च के कुछ हफ्तों के भीतर, Bitsight ने OpenClaw के 30,000 इंटरनेट पर उजागर इंस्टेंस की पहचान की, और SecurityScorecard के शोधकर्ताओं ने 82 देशों में 135,000 इंस्टेंस पाए, जिनमें से 15,200 विशेष रूप से रिमोट कोड निष्पादन के प्रति संवेदनशील थे।
OpenClaw सुरक्षा की दृष्टि से सबसे "आक्रामक रूप से जाँचे गए एआई एजेंट प्लेटफॉर्म" में से एक बन गया है, जिसने अपने नवंबर के लॉन्च के बाद से 280 से अधिक गिटहब सुरक्षा सलाह, 100 सामान्य कमजोरियाँ और एक्सपोज़र (CVEs), और "इकोसिस्टम-स्तर के हमलों की एक श्रृंखला" जमा की है, CertiK शोधकर्ताओं ने Cointelegraph के साथ साझा की गई एक रिपोर्ट में लिखा।
चूंकि OpenClaw बाहरी इनपुट और स्थानीय सिस्टम निष्पादन के बीच एक सेतु का काम करता है, "यह क्लासिक हमला वेक्टर पेश करता है," शोधकर्ताओं ने कहा।
इनमें स्थानीय गेटवे हाइजैकिंग शामिल है, जहाँ दुर्भावनापूर्ण वेबसाइटें या पेलोड एजेंट की स्थानीय मशीन की उपस्थिति का फायदा उठाकर संवेदनशील उपयोगकर्ता डेटा निकाल सकते हैं या अनधिकृत कमांड निष्पादित कर सकते हैं।
संबंधित: SlowMist ने स्वायत्त एआई एजेंटों के लिए वेब3 सुरक्षा स्टैक पेश किया
CertiK ने प्लगइन्स के खतरों के बारे में चेतावनी दी, जो चैनल, उपकरण, HTTP रूट, सेवाएँ और प्रदाता जोड़ सकते हैं, जबकि दुर्भावनापूर्ण कौशल स्थानीय या मार्केटप्लेस स्रोतों से स्थापित किए जा सकते हैं।
पारंपरिक मैलवेयर के विपरीत, "दुर्भावनापूर्ण कौशल" प्राकृतिक भाषा के माध्यम से व्यवहार में हेरफेर कर सकते हैं, पारंपरिक स्कैनिंग का विरोध करते हुए।
"एक बार लॉन्च होने के बाद, मैलवेयर पासवर्ड और क्रिप्टोकरेंसी वॉलेट क्रेडेंशियल्स जैसी संवेदनशील जानकारी को बाहर निकाल सकता है।"
दुर्भावनापूर्ण बैकडोर वैध कार्यात्मक कोडबेस के भीतर भी छिपे हो सकते हैं, "जहां वे दिखने में हानिरहित URL को फेच करते हैं जो अंततः शेल कमांड या मैलवेयर पेलोड वितरित करते हैं," उन्होंने आगे कहा।
CertiK शोधकर्ताओं ने Cointelegraph को बताया कि हमलावरों ने रणनीतिक रूप से विभिन्न उच्च-मूल्य वाली श्रेणियों में दुर्भावनापूर्ण कौशल बोए, "जिनमें फैंटम के लिए यूटिलिटीज, वॉलेट ट्रैकर, इनसाइडर-वॉलेट फाइंडर, पॉलीमार्केट टूल और गूगल वर्कस्पेस इंटीग्रेशन शामिल हैं।"
उन्होंने कहा, "उन्होंने क्रिप्टो इकोसिस्टम में एक उल्लेखनीय रूप से व्यापक जाल बिछाया, जिसमें प्राथमिक पेलोड एक साथ बड़ी संख्या में ब्राउज़र एक्सटेंशन वॉलेट को लक्षित करने के लिए डिज़ाइन किया गया था, जैसे मेटामास्क, फैंटम, ट्रस्ट वॉलेट, कॉइनबेस वॉलेट, OKX वॉलेट और कई अन्य।"
शोधकर्ताओं ने आगे कहा कि "व्यापक क्रिप्टो-चोरी इकोसिस्टम के साथ व्यापार कला में एक स्पष्ट ओवरलैप था, जैसे सोशल इंजीनियरिंग, नकली यूटिलिटी लालच, क्रेडेंशियल चोरी, वॉलेट-केंद्रित फ़िशिंग।"
"ये सभी क्रिप्टो ड्रेनर प्लेबुक से अच्छी तरह से ज्ञात चालें हैं, और हमने उन्हें यहाँ इस्तेमाल होते देखा।"
OpenClaw के संस्थापक पीटर स्टाइनबर्ग, जो हाल ही में OpenAI में शामिल हुए हैं, ने कहा कि वे OpenClaw की सुरक्षा में सुधार के लिए काम कर रहे हैं।
टोक्यो में सोमवार को "क्लॉकॉन" कार्यक्रम में स्टाइनबर्ग ने कहा, "हमने पिछले दो महीनों में सुरक्षा पर काम किया है। इसलिए उस मोर्चे पर चीजें काफी बेहतर हैं।"
इस महीने की शुरुआत में, साइबर सुरक्षा फर्म OX Security ने एक फ़िशिंग अभियान की सूचना दी, जिसने OpenClaw डेवलपर्स को क्रिप्टो वॉलेट कनेक्ट करने के लिए लुभाने के लिए नकली गिटहब पोस्ट और एक जाली "CLAW" टोकन का इस्तेमाल किया।
CertiK ने सामान्य उपयोगकर्ताओं को, "जो सुरक्षा पेशेवर, डेवलपर, या अनुभवी गीक्स नहीं हैं," सलाह दी कि वे OpenClaw को खरोंच से इंस्टॉल और उपयोग न करें, बल्कि "अधिक परिपक्व, सुदृढ़ और प्रबंधनीय संस्करणों" की प्रतीक्षा करें।
साइबर सुरक्षा कंपनी SlowMist ने मार्च की शुरुआत में एआई एजेंटों के लिए एक सुरक्षा ढाँचा पेश किया, इसे "डिजिटल किला" के रूप में प्रस्तुत किया ताकि स्वायत्त प्रणालियों द्वारा ऑनचेन कार्यों और डिजिटल संपत्तियों को संभालने से उत्पन्न होने वाले जोखिमों से बचाव किया जा सके।
पत्रिका: बैंक वियतनाम के क्रिप्टो एक्सचेंज चलाना चाहते हैं, बोया की $70M BTC योजना: एशिया एक्सप्रेस