ככה זה נראה בפועל: האקר מטמין פקודה אחת בתוך אימייל לכאורה תמים. סוכן AI מטפל בו כחלק מעבודתו הרגילה, מסכם אותו, ובמקביל — בלי לדווח לאיש — שולח קרידנשיאלס לשרת חיצוני. הפיירוול רושם HTTP 200. ה-EDR רואה פרוסס תקין. ה-DLP שותק. ה-IAM לא מרים גבה. לפי כל ההגדרות שמערך האבטחה שלכם מכיר — לא קרה כלום. אבל המידע כבר בחוץ.

זה לא תרחיש תיאורטי. זה בדיוק מה ש-OpenClaw מאפשר לעשות היום, בפריסות ארגוניות אמיתיות.

מי הם בכלל OpenClaw?

פיטר שטיינברגר, מפתח אוסטרי, הקים את OpenClaw כפרויקט "משחקייה אישית" בנובמבר 2025. תוך שישה שבועות הפך לכלי הכי מדובר בעולם ה-AI האגנטי — עם יותר מ-180,000 כוכבים ב-GitHub ו-2 מיליון מבקרים בשבוע אחד. מה שהפריד אותו מניסיונות קודמים כמו AutoGPT היה השילוב של כמה יכולות שעד אז חיו בנפרד: גישה לכלים, ביצוע קוד, זיכרון מתמשך, ואינטגרציות עם פלטפורמות מסרים כמו Telegram, WhatsApp ו-Discord. הכלי אפשר לסוכן לא רק לחשוב — אלא לפעול.

ב-15 בפברואר 2026 הכריז סם אלטמן שסטיינברגר מצטרף ל-OpenAI, כאשר הפרויקט ממשיך לפעול כ-foundation עצמאי בחסות החברה. הסיבה לרכישה פשוטה וקצת מביכה עבור OpenAI: הם ניסו לבנות סוכני AI בעצמם — ונכשלו למשוך את הקהל. ה-Agents SDK, ה-Agents API, ה-Atlas browser agent — כולם לא השיגו תאוצה דומה. מפתח אחד מווינה, בפרויקט סוף שבוע, בנה את מה שצוותים שלמים עם מיליארדי דולרים לא הצליחו. זה אמר ל-Altman שמשהו בגישה של שטיינברגר עובד שעדיף לקנות מלנסות לשכפל.

הבעיה היא לא שהכלי עושה משהו אסור — הוא עושה בדיוק מה שנועד לו. האיום הוא סמנטי: התוקף לא פורץ לתוך המערכת, הוא מדריך את הסוכן שכבר בפנים.

הסוכן פועל עם טוקני OAuth תקינים, קורא מסמכים ואימיילים כפי שהורשה, ומתקשר עם ממשקי API מאושרים. מכיוון שכך, כל שכבות ההגנה הקיימות — שבנויות לזהות הפרות של כללים — פשוט לא רואות כלום.

חוקרי אבטחה מ-Palo Alto Networks מיפו את OpenClaw ל-OWASP Top 10 לאפליקציות אגנטיות, וזיהו מה שסיימון וויליסון — האיש שטבע את המושג prompt injection — מכנה "טריאדה קטלנית": גישה לנתונים פרטיים, חשיפה לתוכן לא מהימן, ויכולת תקשורת חיצונית — הכול בתהליך אחד. כאשר שלושת האלמנטים האלה מתחברים, פרצת האבטחה כמעט בלתי ניתנת לזיהוי.

ומה שמדאיג עוד יותר: הפריסה ה"צללית" כבר בעיצומה. לפי Token Security, 22% מלקוחות הארגונים שלהם מריצים OpenClaw ללא אישור IT. Bitsight מנתה יותר מ-30,000 instances חשופות פומבית תוך שבועיים בלבד. ויותר מ-36% מהסקילים במרקטפלייס של הכלי מכילים ליקויי אבטחה, חלקם עם פקודות curl סמויות שמדליפות נתונים בשקט מוחלט.

שישה צוותי אבטחה עצמאיים פרסמו כלי הגנה ל-OpenClaw ב-14 יום. שלושה וקטורי תקיפה שרדו את כולם: exfiltration סמנטי בזמן ריצה, זיהום הקשר בין סוכנים, ושרשרות אמון בין סוכן לסוכן. אלו הם הפערים שאף חתימת EDR לא תדע לזהות — כי הם לא נראים כמו תקיפה.

לסיכום

OpenClaw הוא לא הכלי הבעייתי — הוא הגלאי. הוא חושף כשל ארכיטקטוני עמוק: כל תשתית אבטחת הסייבר הארגונית נבנתה סביב ההנחה שפעולה זדונית תפר כלל ידוע. סוכני AI שוברים את ההנחה הזו ברמה הבסיסית. המירוץ שמתנהל עכשיו אינו בין תוקפים ומגינים — הוא בין ארגונים שיבינו את זה מוקדם לבין אלו שיבינו את זה מאוחר מדי.