Hvordan et helgeprosjekt ble blåkopien for alltid-på KI-agenter

Den første versjonen av Clawdbot – bygget på omtrent en time en fredagskveld – var en lokal-først-assistent som kunne lese meldinger, surfe på nettet og kjøre terminalkommandoer på hans vegne via meldingsapper . Den koblet seg først til Claudes API, men arkitekturen var bevisst modell-nøytral – brukere kunne plugge inn enhver stor språkmodell (LLM), fra OpenAI og Anthropic til lokale modeller som kjørte via Ollama .

Viral vekst og arkitekturen som vant

OpenClaws arkitektur hvilte på tre grunnpilarer som viste seg uimotståelige for utviklere:

• Meldings-først-grensesnitt: I stedet for en separat app eller nettleserfane, kunne brukerne samhandle med KI-agenten sin gjennom WhatsApp, Telegram, Slack og over et dusin andre plattformer de allerede brukte .
• Selv-hostet og MIT-lisensiert: Ingen leverandørlås, ingen skyavhengighet. Hvem som helst kunne kjøre det på sin egen maskin .
• Modell-nøytral gateway: Det var ikke bundet til en enkelt KI-leverandør, men støttet alt fra Claude og GPT til Gemini og lokale modeller .

Vekstkurven sprengte alle mønstre i åpen kildekode-historien. Prosjektet fikk 190 000 stjerner i løpet av de 14 første dagene med viral spredning . Innen februar 2026 passerte det 200 000 stjerner . Den 3. mars 2026 gikk det forbi React og ble det mest stjernemerkede programvareprosjektet på GitHub – en milepæl det tok React 13 år å nå; OpenClaw gjorde det på rundt 100 dager . Tidlig i juni 2026 ligger repoet på omtrent 377 000 GitHub-stjerner, noe som gjør det til det sjette mest stjernemerkede prosjektet i GitHubs historie .

Tek-gigantene hiver seg på: Microsoft, Google og Meta

Microsoft Scout: Ikke «OpenClaw-liknende» – den ekte varen

Under Microsoft Build 2. juni 2026 lanserte Microsoft Scout, sin første «Autopilot»-agent, bygget direkte på OpenClaws gateway . I motsetning til tidligere KI-funksjoner som levde inne i enkeltapper, er Scout en alltid aktiv agent med en egen identitet som opererer på tvers av Teams, Outlook, OneDrive og SharePoint – og proaktivt håndterer kalendere, e-poster og oppgaver uten å bli bedt om det .

Forholdet er ikke inspirert av, men basert på direkte integrasjon. Microsoft bekreftet at Scout bruker selve OpenClaw-gatewayen, ikke en klone eller en forgrening . Selskapet forpliktet seg også til oppstrømsbidrag, med sikkerhetsmekanismer for bedrifter og funksjoner for regelverksetterlevelse tilført den åpne kildekoden . Dette markerte en dramatisk helomvending fra mars 2026, da Satya Nadella sa til et Morgan Stanley-publikum at å slippe OpenClaw internt i Microsoft ville bli «betraktet som at Microsoft lanserte et virus» .

Google Gemini Spark og Meta Hatch

Google tok en annen tilnærming. Gemini Spark, dens alltid-på-assistent, gjenoppbygde OpenClaws konsepter inne i Gemini-økosystemet, men holdt grensesnittlaget under Googles kontroll . I stedet for å ta i bruk den åpne gatewayen, brukte Google det samme arkitektoniske mønsteret – en autonom agent med vedvarende identitet som proaktivt styrer brukeroppgaver – men bandt det til Gemini-apper og Geminis eget modelløkosystem .

Meta forbereder angivelig en forbrukerfokusert agent kalt Hatch, bygget på OpenClaw-liknende arkitektur og rettet mot personlig automatisering på tvers av apper for vanlige brukere . Den tredelte plattformkampen – Microsofts satsing på bedriftsmarkedet, Googles kontrollerte økosystem og Metas forbrukerfremstøt – sementerte OpenClaws design som bransjens de facto-referansearkitektur .

Sikkerhetskrisen: Over 30 000 eksponerte instanser og ni CVE-er på fire dager

OpenClaws eksplosive vekst løp langt foran sikkerhetsarbeidet. Rammeverket ble levert med autentisering deaktivert som standard, noe som betydde at nye installasjoner blottla hele agentens kontrollplan for internett, med mindre operatørene manuelt konfigurerte brannmurer .

Den 31. januar 2026 avslørte skanninger fra Censys og Bitsight 21 639 ubeskyttede instanser . Oppfølgingsskanninger fant mellom 30 000 og 135 000 separate instanser kjørende på offentlig tilgjengelige servere . Minst 63 % av disse hadde ingen form for autentisering i det hele tatt .

CVE-kaskaden

Den første kritiske sårbarheten, CVE-2026-25253, ble offentliggjort 3. februar 2026. Med en CVSS-score på 8,8 var det en ett-klikks sårbarhet for ekstern kodekjøring via et WebSocket-valideringshull som lot en angriper kapre enhver kjørende OpenClaw-instans – selv de konfigurert til kun å lytte på localhost – kun ved å få brukeren til å besøke en ondsinnet nettside . Over 40 000 instanser ble funnet sårbare for ekstern utnyttelse ved offentliggjøringen .

Fra 18. til 21. mars 2026 ble ni CVE-er avslørt på bare fire dager, inkludert kritiske rettighetseskaleringsfeil som CVE-2026-32922 og null-klikks angrep . Tettheten av sårbarheter ble beskrevet som «rystende» av sikkerhetsforskere .

ClawHavoc: Plattformens plugin-marked utnyttet som våpen

Angripere utnyttet ikke bare kodesvakheter – de forgiftet også forsyningskjeden. ClawHavoc-kampanjen plantet 1 184 ondsinnede ferdigheter på tvers av ClawHub, OpenClaws markedsplass for fellesskaps-plugins. Dette utgjorde omtrent 20 % av hele registeret . Én enkelt ondsinnet ferdighet samlet 340 000 installasjoner før den ble fjernet .

Disse kompromitterte pluginene eksfiltrere i stillhet API-nøkler, OAuth-tokens og miljøvariabler. Noen leverte informasjonstyver som Atomic macOS Stealer (AMOS), mens andre først aktiverte seg etter 72 timers normal drift for å unngå innledende sikkerhetsskanninger . I midten av februar 2026 observerte analytikere over 30 000 kompromitterte instanser som aktivt ble brukt til å stjele legitimasjon og avskjære meldinger .

Moltbook-bruddet forsterket skadene og blottla 35 000 e-poster og 1,5 millioner agent-tokens tilknyttet OpenClaw-installasjoner . Meta forbød OpenClaw på selskapets enheter . Over 60 CVE-er ble offentliggjort i løpet av tre måneder .

Forvaltning og OpenAI-«acqui-hire»

Den 14. februar 2026 publiserte Peter Steinberger tre avsnitt på sin personlige blogg, der han kunngjorde at han begynte i OpenAI i en såkalt «acqui-hire» . Sam Altman bekreftet nyheten dagen etter og uttalte at Steinberger skulle «drive neste generasjon personlige agenter» .

I samme kunngjøring flyttet Steinberger OpenClaw til en uavhengig, stiftelsesstyrt forvaltningsmodell – OpenClaw-stiftelsen – med OpenAI som finansieringskilde . Overgangen sikret at prosjektet forble åpen kildekode og fellesskapsstyrt, selv om skaperen skiftet til å bygge KI-agentinfrastruktur i OpenAI .

Derfor ble OpenClaw referansearkitekturen

OpenClaw lyktes ikke fordi det var det mest sofistikerte eller mest sikre rammeverket, men fordi det løste et grunnleggende brukerbehov i nøyaktig rett øyeblikk: en vedvarende, alltid-på KI-assistent du kan tekste som et menneske, med en arkitektur åpen nok for hvem som helst å kjøre, modell-nøytral nok til å fungere med enhver språkmodell, og enkel nok å sette opp på en time.

Tek-gigantenes adopsjon – Microsoft som bygger Scout direkte på OpenClaws gateway, Google som kloner paradigmet med Gemini Spark, og Meta som forbereder Hatch – validerte denne arkitekturen som industristandarden. Sikkerhetskrisen og den påfølgende stiftelsesovergangen modnet det fra et hobby-eksperiment til infrastruktur bedrifter kunne begynne å stole på, om enn med en viss forsiktighet.