Jak weekendowy projekt stał się wzorcem dla agentów AI pracujących non-stop

Pierwsza wersja Clawdbota, zbudowana w około godzinę w piątkowy wieczór , była asystentem działającym lokalnie, który mógł czytać wiadomości, przeglądać internet i wykonywać polecenia w terminalu za pośrednictwem komunikatorów . Początkowo łączył się z API Claude'a, ale architektura była celowo niezależna od modelu – użytkownicy mogli podłączyć dowolny duży model językowy (LLM), od OpenAI i Anthropic po lokalne modele uruchamiane przez Ollama .

Wirusowy wzrost i architektura, która zwyciężyła

Architektura OpenClaw opierała się na trzech filarach, które okazały się nie do odparcia dla deweloperów:

• Interfejs komunikatora na pierwszym miejscu: Zamiast oddzielnej aplikacji czy karty w przeglądarce, użytkownicy wchodzili w interakcję ze swoim agentem AI przez WhatsApp, Telegram, Slack i kilkanaście innych platform, których już używali .
• Samodzielny hosting i licencja MIT: Zero uzależnienia od dostawcy, zero zależności od chmury. Każdy mógł uruchomić to na własnym komputerze .
• Bramka niezależna od modelu: Nie był powiązany z jednym dostawcą AI, obsługując wszystko, od Claude i GPT po Gemini i modele lokalne .

Krzywa wzrostu rozbiła wszelkie schematy w historii open-source. Projekt zdobył 190 000 gwiazdek w ciągu pierwszych 14 dni wirusowej popularności . Do lutego 2026 roku przekroczył 200 000 gwiazdek . 3 marca 2026 roku prześcignął React, stając się projektem z największą liczbą gwiazdek na GitHubie – kamień milowy, na który React potrzebował 13 lat; OpenClaw dokonał tego w około 100 dni . Na początku czerwca 2026 roku repozytorium liczy około 377 000 gwiazdek na GitHubie, co czyni je szóstym najbardziej "zagwieżdżonym" projektem w historii platformy .

Wielka ofensywa gigantów technologicznych: Microsoft, Google i Meta

Microsoft Scout: Nie "w stylu OpenClaw" – a prawdziwa bramka

Podczas konferencji Microsoft Build, 2 czerwca 2026 roku, Microsoft zaprezentował Scout, swojego pierwszego agenta "Autopilot", zbudowanego bezpośrednio na bramce OpenClaw . W przeciwieństwie do poprzednich funkcji AI, które działały wewnątrz pojedynczych aplikacji, Scout jest zawsze aktywnym agentem z własną tożsamością, który działa w Teams, Outlook, OneDrive i SharePoint, proaktywnie zarządzając kalendarzami, e-mailami i zadaniami bez konieczności wydawania mu poleceń .

Relacja między nimi to nie inspiracja, a integracja. Microsoft potwierdził, że Scout korzysta bezpośrednio z bramki OpenClaw, a nie z klona czy forka . Firma zobowiązała się również do wnoszenia wkładu do głównego projektu, dodając do rdzenia open-source'owego korporacyjne zabezpieczenia i funkcje zgodności z politykami . Oznaczało to dramatyczny zwrot w stosunku do marca 2026 roku, kiedy to dyrektor generalny Satya Nadella powiedział publiczności Morgan Stanley, że wypuszczenie OpenClaw wewnątrz Microsoftu zostałoby "uznane za wypuszczenie wirusa przez Microsoft" .

Google Gemini Spark i Meta Hatch

Google przyjęło inne podejście. Gemini Spark, jego asystent pracujący non-stop, odtworzył koncepcje OpenClaw wewnątrz ekosystemu Gemini, zachowując warstwę interfejsu pod kontrolą Google . Zamiast adoptować bramkę open-source, Google użył tego samego wzorca architektonicznego – autonomicznego agenta z trwałą tożsamością, który proaktywnie zarządza zadaniami użytkownika – ale związał go z aplikacjami Gemini i własnym ekosystemem modeli .

Meta podobno przygotowuje skoncentrowanego na konsumencie agenta o nazwie Hatch, zbudowanego na architekturze w stylu OpenClaw i nastawionego na osobistą, wieloaplikacyjną automatyzację dla codziennych użytkowników . Ta trójstronna walka platform – korporacyjne zagranie Microsoftu, kontrolowany ekosystem Google i konsumencki ruch Mety – ugruntowała projekt OpenClaw jako de facto architekturę referencyjną dla całej branży .

Kryzys bezpieczeństwa: Ponad 30 000 odsłoniętych instancji i 9 CVE w 4 dni

Eksplozywny wzrost popularności OpenClaw znacznie wyprzedził jego poziom bezpieczeństwa. Framework był domyślnie dostarczany z wyłączonym uwierzytelnianiem, co oznaczało, że nowe wdrożenia wystawiały całą płaszczyznę kontroli agenta na widok publiczny w internecie, chyba że operatorzy ręcznie skonfigurowali zapory sieciowe .

31 stycznia 2026 roku skany przeprowadzone przez Censys i Bitsight ujawniły 21 639 odsłoniętych instancji . Kolejne skany znalazły od 30 000 do 135 000 odrębnych instancji działających na publicznie dostępnych serwerach . Co najmniej 63% z nich nie miało w ogóle skonfigurowanego uwierzytelniania .

Kaskada podatności CVE

Pierwsza krytyczna podatność, CVE-2026-25253, została ujawniona 3 lutego 2026 roku. Z oceną CVSS 8.8, była to luka umożliwiająca zdalne wykonanie kodu (RCE) za pomocą jednego kliknięcia, wynikająca z błędu walidacji pochodzenia WebSocket. Pozwalała atakującemu przejąć każdą działającą instancję OpenClaw, nawet te skonfigurowane do nasłuchiwania tylko na localhost, po prostu nakłaniając użytkownika do odwiedzenia złośliwej strony internetowej . W momencie ujawnienia ponad 40 000 instancji było podatnych na zdalne wykorzystanie .

Od 18 do 21 marca 2026 roku, w ciągu zaledwie czterech dni, ujawniono dziewięć podatności CVE, w tym krytyczne luki w eskalacji uprawnień, takie jak CVE-2026-32922 i exploity niewymagające kliknięcia . Badacze bezpieczeństwa opisali gęstość występowania luk jako "oszałamiającą" .

ClawHavoc: Rynek wtyczek jako broń

Atakujący nie tylko wykorzystywali błędy w kodzie – zatruli łańcuch dostaw. Kampania ClawHavoc umieściła 1184 złośliwe "umiejętności" w ClawHub, społecznościowym rynku wtyczek OpenClaw, co stanowiło około 20% całego rejestru . Jedna ze złośliwych umiejętności zgromadziła 340 000 instalacji przed usunięciem .

Te skompromitowane wtyczki po cichu wykradały klucze API, tokeny OAuth i zmienne środowiskowe. Niektóre dostarczały złodziei informacji, takich jak Atomic macOS Stealer (AMOS), podczas gdy inne aktywowały się dopiero po 72 godzinach normalnego działania, aby ominąć początkowe skany bezpieczeństwa . Do połowy lutego 2026 roku analitycy zaobserwowali ponad 30 000 skompromitowanych instancji aktywnie wykorzystywanych do kradzieży danych uwierzytelniających i przechwytywania wiadomości .

Naruszenie danych w Moltbook spotęgowało szkody, ujawniając 35 000 e-maili i 1,5 miliona tokenów agentów powiązanych z wdrożeniami OpenClaw . Meta zakazała używania OpenClaw na urządzeniach firmowych . W ciągu trzech miesięcy ujawniono ponad 60 podatności CVE .

Zarządzanie i przejęcie przez OpenAI

14 lutego 2026 roku Peter Steinberger opublikował na swoim osobistym blogu trzy akapity, ogłaszając, że dołącza do OpenAI w ramach tzw. acqui-hire . Sam Altman potwierdził ten ruch następnego dnia, stwierdzając, że Steinberger będzie "napędzał następną generację osobistych agentów" .

W tym samym ogłoszeniu Steinberger przekazał OpenClaw niezależnemu modelowi zarządzania, wspieranemu przez fundację – Fundację OpenClaw – z finansowaniem zapewnionym przez OpenAI . To przejście zapewniło, że projekt pozostał otwartoźródłowy i zarządzany przez społeczność, nawet gdy jego twórca skupił się na budowaniu infrastruktury agentów AI w OpenAI .

Dlaczego OpenClaw stał się architekturą referencyjną

OpenClaw odniósł sukces nie dlatego, że był najbardziej wyrafinowanym czy najbezpieczniejszym frameworkiem, ale dlatego, że rozwiązał fundamentalną potrzebę użytkownika w idealnym momencie: stały, zawsze dostępny asystent AI, do którego można wysłać SMS-a jak do człowieka, z architekturą na tyle otwartą, by każdy mógł ją uruchomić, na tyle niezależną od modelu, by działać z dowolnym LLM, i na tyle prostą, by wdrożyć ją w godzinę.

Adopcja przez gigantów technologicznych – Microsoft budujący Scout bezpośrednio na bramce OpenClaw, Google klonujący paradygmat z Gemini Spark i Meta przygotowująca Hatch – potwierdziła tę architekturę jako standard branżowy. Kryzys bezpieczeństwa i późniejsze przejście do fundacji uczyniły z niego, z eksperymentu hobbysty, infrastrukturę, której przedsiębiorstwa mogły zacząć ufać, choć z ostrożnością.