Weekend-hacket der ændrede AI-industrien

Den første version af Clawdbot, bygget på omtrent en time en fredag aften , var en lokal-først assistent, der kunne læse beskeder, browse internettet og køre shell-kommandoer på hans vegne gennem besked-apps . Den var oprindeligt forbundet til Anthropics Claude API, men arkitekturen var bevidst model-uafhængig – brugere kunne tilslutte en hvilken som helst stor sprogmodel (LLM), fra OpenAI og Anthropic til lokale modeller, der kørte via Ollama .

Viral vækst og den vindende arkitektur

OpenClaws arkitektur hvilede på tre søjler, der viste sig at være uimodståelige for udviklere:

• Besked-først interface: I stedet for en separat app eller browserfane interagerede brugerne med deres AI-agent gennem WhatsApp, Telegram, Slack og mere end et dusin andre platforme, de allerede brugte .
• Selv-hostet og MIT-licenseret: Ingen vendor lock-in, ingen afhængighed af en bestemt cloud. Alle kunne køre det på deres egen maskine .
• Model-uafhængig gateway: Det var ikke bundet til en enkelt AI-udbyder og understøttede alt fra Claude og GPT til Gemini og lokale modeller .

Vækstkurven knuste alle tidligere mønstre i open source-historien. Projektet fik 190.000 stjerner i de første 14 dage efter at være gået viralt . I februar 2026 havde det rundet 200.000 stjerner . Den 3. marts 2026 overhalede det React og blev det mest stjernemarkerede softwareprojekt på GitHub – en milepæl, det tog React 13 år at nå, og som OpenClaw klarede på omtrent 100 dage . Pr. starten af juni 2026 ligger repositoryet på cirka 377.000 GitHub-stjerner, hvilket gør det til det sjette mest stjernemarkerede projekt i GitHubs historie .

De store tech-giganter følger trop

Microsoft Scout: Ikke "OpenClaw-lignende" – men den ægte vare

Ved Microsoft Build den 2. juni 2026 lancerede Microsoft Scout, deres første "Autopilot"-agent, bygget direkte på OpenClaw-gatewayen . I modsætning til tidligere AI-funktioner, der levede inde i individuelle apps, er Scout en altid tændt agent med sin egen identitet, der opererer på tværs af Teams, Outlook, OneDrive og SharePoint, og proaktivt håndterer kalendere, e-mails og opgaver uden at skulle prompts .

Relationen er ikke én af inspiration, men af integration. Microsoft bekræftede, at Scout bruger OpenClaw-gatewayen direkte, ikke en klon eller en kopi . Virksomheden lovede også at bidrage tilbage til projektet med upstream-forbedringer som sikkerheds- og politikfunktioner til virksomhedsbrug . Dette markerede en dramatisk kovending fra marts 2026, hvor CEO Satya Nadella fortalte et publikum hos Morgan Stanley, at en frigivelse af OpenClaw internt i Microsoft ville blive "betragtet som at Microsoft lancerede en virus" .

Google Gemini Spark og Meta Hatch

Google valgte en anden tilgang. Gemini Spark, deres altid tændte assistent, genskabte OpenClaws koncepter inden for Gemini-økosystemet, mens de beholdt interfacelaget under Googles kontrol . I stedet for at adoptere den åbne open source-gateway brugte Google det samme arkitektoniske mønster – en autonom agent med en vedvarende identitet, der proaktivt administrerer brugeropgaver – men bandt det til Gemini-apps og Gemini-modellernes eget økosystem .

Meta forbereder angiveligt en forbrugerfokuseret agent kaldet Hatch, bygget på OpenClaw-lignende arkitektur og rettet mod personlig automatisering på tværs af apps for almindelige brugere . Den trevejs platformskamp – Microsofts enterprise-udspil, Googles kontrollerede økosystem og Metas forbruger-fremstød – cementerede OpenClaws design som de facto-referencearkitekturen for industrien .

Sikkerhedskrisen: 30.000+ eksponerede instanser og 9 CVE'er på 4 dage

OpenClaws eksplosive vækst overhalede dets sikkerhedsposition med længder. Frameworket blev leveret uden aktiveret autentificering som standard, hvilket betød, at nye installationer blotlagde hele deres agent-kontrolpanel på internettet, medmindre operatørerne manuelt konfigurerede firewalls .

Den 31. januar 2026 afslørede scanninger fra Censys og Bitsight 21.639 eksponerede instanser . Opfølgende scanninger fandt mellem 30.000 og 135.000 forskellige instanser kørende på offentligt tilgængelige servere . Mindst 63 % af disse havde slet ingen autentificering konfigureret .

CVE-kaskaden

Den første kritiske sårbarhed, CVE-2026-25253, blev offentliggjort den 3. februar 2026. Vurderet til CVSS 8.8 var det en one-click remote code execution-fejl via et WebSocket-origin valideringshul, der lod en angriber kapre enhver kørende OpenClaw-instans, selv dem der var konfigureret til kun at lytte på localhost, ved blot at få brugeren til at besøge en ondsindet webside . Over 40.000 instanser blev fundet sårbare over for remote udnyttelse på tidspunktet for offentliggørelsen .

Fra den 18. til 21. marts 2026 blev ni CVE'er offentliggjort på bare fire dage, inklusive kritiske eskalering af privilegier som CVE-2026-32922 og zero-click exploits . Sikkerhedsforskere beskrev tætheden af sårbarheder som "rystende" .

ClawHavoc: Plugin-markedet som våben

Angriberne udnyttede ikke kun kodefejl – de forgiftede også forsyningskæden. ClawHavoc-kampagnen plantede 1.184 ondsindede skills på tværs af ClawHub, OpenClaws community plugin-marked, svarende til omkring 20 % af hele registreringsdatabasen . En enkelt ondsindet skill nåede 340.000 installationer, før den blev fjernet .

Disse kompromitterede plugins eksfiltrerede i stilhed API-nøgler, OAuth-tokens og miljøvariabler. Nogle leverede info-stealers som Atomic macOS Stealer (AMOS), mens andre først blev aktiveret efter 72 timers normal drift for at omgå indledende sikkerhedsscanninger . I midten af februar 2026 observerede analytikere over 30.000 kompromitterede instanser, der aktivt blev brugt til at stjæle legitimationsoplysninger og opsnappe beskeder .

Moltbook-bruddet forværrede skaden og eksponerede 35.000 e-mails og 1,5 millioner agent-tokens knyttet til OpenClaw-installationer . Meta bannede OpenClaw fra virksomhedens enheder . Over 60 CVE'er blev offentliggjort inden for tre måneder .

Ændringen i ledelse og Steinbergers skifte til OpenAI

Den 14. februar 2026 postede Peter Steinberger tre afsnit på sin personlige blog, hvori han annoncerede, at han sluttede sig til OpenAI i et såkaldt "acqui-hire" . Sam Altman bekræftede flytningen dagen efter og udtalte, at Steinberger ville "drive den næste generation af personlige agenter" .

I samme meddelelse flyttede Steinberger OpenClaw til en uafhængig, fondsstyret ledelsesmodel – OpenClaw Foundation – med OpenAI som finansiel bidragsyder . Overgangen sikrede, at projektet forblev open source og fællesskabsstyret, selvom dets skaber skiftede til at bygge AI-agent-infrastruktur hos OpenAI .

Derfor blev OpenClaw referencearkitekturen

OpenClaw fik succes, ikke fordi det var det mest sofistikerede eller mest sikre framework, men fordi det løste et grundlæggende brugerbehov på præcis det rette tidspunkt: en vedvarende, altid tændt AI-assistent, man kan skrive til som et menneske, med en arkitektur, der er åben nok til, at alle kan køre den, model-uafhængig nok til at fungere med enhver LLM, og simpel nok til at sætte op på en time.

Big Techs adoption – Microsoft der bygger Scout direkte på OpenClaw-gatewayen, Google der kloner paradigmet med Gemini Spark, og Meta der forbereder Hatch – validerede den arkitektur som industristandarden. Sikkerhedskrisen og den efterfølgende fondsovergang modnede det fra et hobby-eksperiment til en infrastruktur, virksomheder kunne begynde at stole på, om end med forsigtighed.