OpenClaw får rød lampe: Usikre standardindstillinger gør digitale assistenter til insider-risiko
En ny advarsel fra sikkerhedsfirmaet Kaspersky retter fokus mod OpenClaw – et open source-system (kildekode frit tilgængelig), som kan bruges som digital assistent med kunstig intelligens. Pointen er enkel: Når den slags værktøjer bliver taget i brug som “skygge-IT”, kan de give uventet adgang til systemer og data, hvis de ikke styres stramt.
Kort fortalt
- OpenClaw (tidligere kendt som Clawdbot/Moltbot) er en digital assistent med kunstig intelligens, der kan udvides med udvidelser (plugins) fra et økosystem kaldet ClawHub.
- Kaspersky advarer om usikre standardindstillinger, bl.a. at adgangskontrol (krav om login) kan være slået fra som standard.
- Kaspersky beskriver også, at adgangsnøgler, adgangskoder og “tokens” (digitale nøgler til systemadgang) kan ende gemt i klartekst i konfiguration, “hukommelse” og logfiler.
- Der er registreret konkrete sårbarheder, bl.a. CVE‑2026‑25253 (et offentligt sårbarheds-id).
- For danske virksomheder betyder det: Et enkelt “smart” værktøj kan blive en bagdør ind i data og systemer – også selvom intentionen blot var at spare tid.
Hvad er problemet?
OpenClaw er gratis, nemt at sætte op og kan udvides med færdige moduler. Det gør det attraktivt i travle afdelinger, hvor man gerne vil automatisere små opgaver hurtigt. Men Kaspersky peger på, at hvis adgangskontrol ikke er aktiveret, og hvis hemmeligheder gemmes læsbart, bliver konsekvensen voldsom, hvis en pc eller server kompromitteres – eller hvis løsningen blot bliver sat op “lidt for åbent” på netværket.
Kaspersky fremhæver også risikoen i udvidelses-økosystemet: der har været tilfælde med skadelige udvidelser. VirusTotal (en tjeneste der scanner filer for skadelig kode) bruges som delvist værn, men det er ikke en garanti.
Et realistisk scenarie: En økonomimedarbejder installerer OpenClaw for at få hjælp til afstemninger og kladder til mails. Assistenten får adgang til regneark med leverandørdata og måske personoplysninger. Hvis adgangskontrol er svag, eller digitale nøgler ligger i klartekst, kan uvedkommende i værste fald få adgang. Og ansvaret – også efter GDPR – ligger stadig hos organisationen.
| Risiko | Konsekvens | Modtræk |
|---|---|---|
| Adgangskontrol slået fra | Uautoriseret adgang til data | Slå adgangskontrol til og begræns netværksadgang |
| Hemmeligheder i klartekst | Læk af systemadgang | Brug sikker lagring af nøgler og ryd op i logfiler |
| Uvurderede udvidelser | Skadelig kode via udvidelser | Centralt godkendte udvidelser og løbende kontrol |
Det kan du gøre nu
- Lav et hurtigt overblik: Hvilke værktøjer med kunstig intelligens kører reelt i organisationen – også uden for IT’s indkøb?
- Indfør en “godkendt liste”: Gør det let at vælge sikkert (og svært at vælge tilfældigt).
- Giv mindst mulige rettigheder: Digitale assistenter skal kun have adgang til det, de absolut skal bruge – aldrig “alt”.
- Skil test fra drift: Lad eksperimenter ske i et miljø uden følsomme data.
- Kræv sporbarhed: Sørg for logning, så I kan se, hvad der er tilgået, og hvornår.
- Tag GDPR alvorligt – uden at gøre det tungt: Hvis persondata kan være i spil, så involvér jeres databeskyttelsesrådgiver (DPO) tidligt.
Kilder
- Kaspersky (16. februar 2026): https://www.kaspersky.com/blog/moltbot-enterprise-risk-management/55317/?utm_source=tldrinfosec
- NVD – CVE‑2026‑25253: https://nvd.nist.gov/vuln/detail/CVE-2026-25253
🤖 Denne artikel er skrevet af kunstig intelligens og kan indeholde fejl.
Læs original kilde →Fandt du en fejl?