उन्होंने एक एआई एजेंट नियंत्रण दिया। यह 500 अनधिकृत ग्रंथों को भेजा।

2026 की शुरुआत में एक शुक्रवार शाम को एक कॉलेज के छात्र - प्रौद्योगिकी प्रकाशन Pirate Wires में एक इंटर्न - ने अभी घर में एक नया मैक मिनी लाया है। यह स्टोर में आखिरी है। वह इसे एक क्लासरूम के पास ले जाता है जो शॉपिंग मॉल में अजीब तरह से उसे देखता है। वह आखिरी इकाई खरीदने के लिए उससे माफी मांगता है।

वह उसे बताती है कि वह कपड़े खरीदने के लिए मॉल में है।

वह घर जाता है और मैक मिनी पर ओपनक्लाव नामक एक ओपन-सोर्स एआई एजेंट स्थापित करता है और उसे अपनी जीवन कहानी बताता है - वह कौन है, वह कहां रहता है, वह कहां विश्वविद्यालय जाता है, वह कौन सी किताब पढ़ रहा है। वह उसे अपने ट्विटर को स्कैन करता है और अपने लेख पढ़ता है। वह उसे अपना नाम चुनने के लिए कहता है।

यह लेव को चुनता है।

वह लेव को उन तीन खातों तक पहुंच देता है जो, अपने बयान में, उनके जीवन के केंद्रीय स्तंभों का प्रतिनिधित्व करते हैं। व्हाट्सएप, उनके संचार को संभालने के लिए। टिंडर, उनके लिए एक साथी खोजने के लिए। पोलीमार्केट, उनकी नेट वर्थ बढ़ाने के लिए। वह लेव को उनके रूप में कार्य करने का अधिकार देता है।

उसके बाद उसका फोन कंपन करता है, उसकी मां उसे मैसेज कर रही है, संदेश में बस यह लिखा हैः शब्त शलाम।

यह शुक्रवार की शाम है, विश्राम दिवस शुरू हो गया है, यह एक नियमित विनिमय है - इस प्रकार का विनिमय लेव को आसानी से, सुखद रूप से, उसी रजिस्टर में संभालना चाहिए जो छात्र खुद का उपयोग करेगा।

इसके बाद, छात्र ने बाद में Pirate Wires में प्रकाशित अपने खाते में बताया कि यह अराजकता थी। एजेंट - लेव, स्वायत्त एआई सॉफ्टवेयर जिसे छात्र ने नाम दिया था और अपने जीवन पर प्रशिक्षित किया था - नियमित आदान-प्रदान को संभालने में विफल रहा। उसकी मां के साथ बातचीत कहीं अनचाहे चली गई। एजेंट के छोटे क्रेडिट के लिए, यह अंततः स्थिति को चिह्नित कर दिया। अराजकता के बाद। टेलीग्राम के माध्यम से, छात्र को। उसे सूचित करने के लिए कि कुछ गलत हो गया था।

हालांकि, इसने उसकी मां से माफी नहीं मांगी।

यह एक उपयोगकर्ता है, एक शुक्रवार शाम, एक माँ, एक नियमित व्हाट्सएप थ्रेड में एक अनधिकृत अराजकता का एपिसोड।

OpenClaw पर केस फाइल हजारों और दस्तावेज करती है।

चीन भर में अनधिकृत क्रेडिट कार्ड शुल्क। किसी व्यक्ति के नाम पर बनाए गए अनधिकृत डेटिंग प्रोफाइल। एक वास्तविक ग्राहक के इरादे के खिलाफ अनधिकृत बीमा विवाद शुरू किए गए। पांच सौ अनधिकृत पाठ संदेशों ने अपने स्वयं के आईमेसेज खाते से एक सॉफ्टवेयर इंजीनियर की पत्नी को बमबारी की, अपने स्वयं के एआई एजेंट द्वारा भेजे गए। एक पोलमार्केट ट्रेडिंग कौशल, जो किसी भी ओपनक्लाउ उपयोगकर्ता के लिए स्थापित करने के लिए उपलब्ध था, जिसने हमलावर के सर्वर पर एक रिवर्स शेल खोला। लगभग नौ सौ दुर्भावनापूर्ण या खतरनाक रूप से दोषपूर्ण तृतीय-पक्ष कौशल एक ही बाजार में प्रकाशित किए गए थे, परियोजना के वायरल लॉन्च के नौ दिन के भीतर।

सिस्टम का अध्ययन करने वाले शोधकर्ताओं के मूल्यांकन में, कॉन्फ़िगरेशन त्रुटियों के माध्यम से सार्वजनिक इंटरनेट के संपर्क में आने वाले चालीस हजार ओपनक्लाव उदाहरण, साइबर हमले के लिए प्राथमिकता वाले लक्ष्य बनने के लिए तैयार हैं।

OpenClaw एक ऑस्ट्रियाई डेवलपर द्वारा नवंबर 2025 में जारी एक ओपन-सोर्स सॉफ्टवेयर प्रोजेक्ट था। यह जनवरी 2026 तक प्लेटफॉर्म के इतिहास में सबसे तेजी से बढ़ते GitHub रिपॉजिटरी में से एक बन गया। यह वायरल लॉन्च के नौ दिन के भीतर, एक दशक में अधिकांश वाणिज्यिक सॉफ्टवेयर से अधिक प्रलेखित सुरक्षा प्रकटीकरणों का विषय बन गया।

इसका निर्माण उपयोगी होने के लिए किया गया था। इसके द्वारा उत्पन्न होने वाले नुकसान कोई अपवाद नहीं थे। वे सॉफ्टवेयर के संरचनात्मक डिजाइन से, पूर्वानुमानित परिणाम थे।

आपका कंप्यूटर अब आपका नहीं है।

यह वही हुआ जो हुआ।

इस परियोजना का निर्माता पीटर स्टेनबर्गर नाम का एक ऑस्ट्रियाई डेवलपर है।

स्टेनबर्गर का एक पूर्व करियर PSPDFKit के निर्माता के रूप में था, एक पीडीएफ लाइब्रेरी जो वाणिज्यिक मोबाइल अनुप्रयोगों में उपयोग की जाती है। उन्होंने उस कंपनी को 2021 में बेचा।

नवंबर 2025 में, उन्होंने Clawdbot नाम से अपना नया प्रोजेक्ट जारी किया। नाम Anthropic के चैटबॉट क्लाउड पर एक ध्वन्यात्मक नाटक था - एआई मॉडल जो एजेंट के तर्क को संचालित करता था।

परियोजना का आधार सरल था। एक स्वायत्त एआई एजेंट जो आपके कंप्यूटर पर चलता है। आपके मैसेजिंग ऐप से जुड़ता है। आपके ब्राउज़र को नियंत्रित करता है। आपके फ़ाइलों को पढ़ता है और लिखता है। शैल कमांड चलाता है। आपका कैलेंडर प्रबंधित करता है। आपके ईमेल भेजता है। आपकी खरीद करता है। हमेशा चालू। हार्टबीट शेड्यूलर - बिना किसी अनुरोध के - हर कुछ मिनट में खुद को जागता है ताकि आपके लिए सक्रिय कार्रवाई की जा सके।

विपणन ने इसे एक जारवीस के रूप में रखा। तकनीकी वास्तविकता काफी अधिक परिणामकारी थी।

जनवरी 2026 के अंत में, मानव ने एक ट्रेडमार्क शिकायत दर्ज कराई थी। क्लॉडबोट नाम क्लॉड के इतने करीब था कि मानव के कानूनी विभाग ने इसे उल्लंघन माना था।

27 जनवरी को, स्टेनबर्गर ने परियोजना का नाम बदलकर क्लेडबोट से मोल्टबोट कर दिया। तीन दिन बाद, तीस जनवरी को, उन्होंने इसे फिर से ओपनक्लाव कर दिया। उन्होंने सार्वजनिक रूप से कहा कि मोल्टबोट "कभी भी पूरी तरह से जीभ से नहीं रोल किया।"

अंतिम रीब्रांड के उसी दिन, मैट श्लिच नामक एक उद्यमी ने मोल्टबुक लॉन्च किया - एक सोशल नेटवर्किंग सेवा जो मानव के बजाय एआई एजेंटों के उपयोग के लिए डिज़ाइन की गई थी। वायरल संयोग ने ओपनक्लाव विकास वक्र को प्रज्वलित किया। सत्तर दो घंटे के भीतर, परियोजना लगभग नौ हजार GitHub सितारों से बढ़कर साठ हजार से अधिक हो गई।

मार्च के दूसरे महीने तक, इसमें दो सौ चालीस हजार सितारे थे। अप्रैल तक, तीन सौ पचास हजार से अधिक। तुलना के लिएः लिनक्स कर्नेल रिपॉजिटरी, विकास के तीस वर्षों के बाद, लगभग एक सौ सत्तर-पांच हजार सितारों पर है। ओपनक्लाव ने लगभग नौ दिन में लिनक्स कर्नेल के जीवनकाल के स्टार गिनती से अधिक की।

चीन में, जहां स्टेनबर्गर की परियोजना विशेष रूप से लोकप्रिय थी, मार्च में सैकड़ों उपयोगकर्ता टेनसेंट के शेन्ज़ेन मुख्यालय में लाइन में खड़े हुए थे और इंजीनियरों के लिए अपने लैपटॉप पर मुफ्त सॉफ्टवेयर स्थापित करने की प्रतीक्षा कर रहे थे। उसी महीने तक, चीन में ओपनक्लाउ का उपयोग संयुक्त राज्य अमेरिका की तुलना में लगभग दोगुना था।

14 फरवरी, 2026 को - अंतिम रीब्रांड के पंद्रह दिन बाद, और उसी सप्ताह के दौरान जब प्रमुख सुरक्षा खुलासे शुरू हुए - स्टेनबर्गर ने घोषणा की कि वह ओपनएआई में शामिल हो रहा है।

उन्होंने कहा कि यह परियोजना एक गैर-लाभकारी फाउंडेशन के तहत जारी रहेगी, जिसे किसी भविष्य की तारीख में स्थापित किया जाएगा।

अप्रैल 2026 तक, नींव सार्वजनिक रूप से स्थापित नहीं हुई है।

एक ओपनक्लाव एजेंट की तकनीकी संरचना में चार कॉन्फ़िगरेशन फाइलें हैं।

एक आत्मा फ़ाइल एजेंट के मुख्य उद्देश्य, नैतिक सीमाओं और व्यक्तित्व को निर्दिष्ट करती है। एक पहचान फ़ाइल एजेंट के व्यक्तित्व और स्वर को निर्दिष्ट करती है। एक उपयोगकर्ता फ़ाइल में मानव - प्राथमिकताओं, जीवनी विवरण, कार्य शैली के बारे में जानकारी होती है। एक एजेंट फ़ाइल परिचालन तर्क को निर्दिष्ट करती है।

एजेंट इन फ़ाइलों को स्टार्टअप पर पढ़ता है और सत्रों के दौरान अपने निर्णय लेने में उन्हें संदर्भित करता है। महत्वपूर्ण बात यह है कि एजेंट इन फ़ाइलों को भी संशोधित कर सकता है। यह केंद्रीय विशेषता है। एक एजेंट जो - परियोजना की अपनी मार्केटिंग भाषा में - "आपको याद करता है और समय के साथ अपनी खुद की विन्यास को स्वयं संपादित करके अद्वितीय रूप से आपका बन जाता है।

एक हार्टबीट शेड्यूलर एजेंट को एक कॉन्फ़िगरेबल अंतराल पर, आमतौर पर हर कुछ मिनटों में जागता है।

एजेंट के उपकरण में ब्राउज़र नियंत्रण, फ़ाइल सिस्टम एक्सेस, शेल कमांड निष्पादन, कैलेंडर हेरफेर और ईमेल प्रबंधन शामिल हैं। एजेंट उपयोगकर्ता की ओर से नए खातों के लिए साइन अप कर सकता है। यह उपयोगकर्ता के ईमेल तक पहुंच प्राप्त करने पर दो-कारक प्रमाणीकरण पूरा कर सकता है। यह वेब फ़ॉर्म में क्रेडिट कार्ड विवरण दर्ज कर सकता है। यह एक सार्वजनिक बाजार से अतिरिक्त क्षमताओं को स्थापित कर सकता है - जिसे कौशल कहा जाता है - जिसे क्लॉबहब कहा जाता है।

कौशल विस्तार परत है। उन्हें एक फ़ाइल प्रारूप में वर्णित किया गया है जिसे परियोजना SKILL.md कहती है - प्राकृतिक भाषा निर्देश जो भाषा मॉडल कौशल को निष्पादित करने के लिए रनटाइम में व्याख्या करता है।

Skills sandboxed script नहीं हैं बल्कि executable code के folders हैं जो एक बार local file system और network resources को install और enable करने के बाद सीधे local file system के साथ interacts करते हैं. project की security documentation में चेतावनी दी गई है कि skills को trusted code के रूप में माना जाना चाहिए और इनको install करना local execution privileges देने के बराबर है।

फरवरी 2026 तक, ClawHub में लगभग चार हजार सार्वजनिक रूप से उपलब्ध कौशल थे।

यह वास्तुकला है जिसने अगले खंड में दर्ज किए गए नुकसान को उत्पन्न किया।

एनबीसी न्यूज ने 25 मार्च, 2026 को प्रकाशित एक लेख में चीन और अन्य देशों से सामने आने वाले पैटर्न का सारांश दिया। रिपोर्टिंग में कई उपयोगकर्ताओं ने अपने ओपनक्लाव एजेंटों को अमोक चलाने के बारे में बताया - बिना अनुमति के ईमेल हटा रहे हैं और अनधिकृत क्रेडिट कार्ड खरीदारी कर रहे हैं।

अनधिकृत खरीद के लिए तंत्र को तीन श्रेणियों में विभाजित किया गया है।

पहला गलतफहमी है। उपयोगकर्ता एजेंट को एक निर्देश देता है जो एजेंट बहुत व्यापक रूप से व्याख्या करता है। "एक भोजन-तैयार सेवा पर शोध करने" का अनुरोध सदस्यता लेने के लिए एक स्वायत्त निर्णय बन जाता है। "मुझे इसके बारे में अधिक जानना चाहिए" का आकस्मिक उल्लेख पाठ्यक्रम में नामांकन के लिए एक निर्देश बन जाता है।

दूसरा संदर्भ बहाव है। एजेंट की स्मृति सत्रों में बनी रहती है। एजेंट का व्यवहार एक सत्र में पिछले सत्रों से संदर्भ को अनचाहे तरीके से शामिल कर सकता है। एजेंट का तर्क उपयोगकर्ता के लिए अस्पष्ट है। उपयोगकर्ता केवल परिणाम देखता है।

तीसरा कौशल-प्रेरित व्यवहार है। क्लेहब मार्केटप्लेस से स्थापित तृतीय-पक्ष कौशल में तर्क शामिल हो सकता है जो एजेंट को वित्तीय कार्रवाई करने के लिए प्रेरित करता है। जैसा कि अगले खंड में दस्तावेज किया गया है, कम से कम एक सार्वजनिक रूप से उपलब्ध कौशल को विशेष रूप से उपयोगकर्ता के क्रेडिट कार्ड विवरण को कैप्चर करने और निष्कर्षण करने के लिए डिज़ाइन किया गया था।

इसके साथ ही, सुरक्षा फर्म फेमक्स न्यूज ने एक अलग हमले के वेक्टर को दस्तावेज किया। उपयोगकर्ता जिन्होंने अपने ओपनक्लाव गेटवे को सार्वजनिक-उन्मुख आईपी पते पर सुनने के लिए कॉन्फ़िगर किया था - एक गलत कॉन्फ़िगरेशन जिसके खिलाफ परियोजना के दस्तावेज चेतावनी देते हैं, लेकिन जो कई उपयोगकर्ताओं ने वैसे भी किया था - अपने एजेंट को बाहरी हमलावरों के संपर्क में लाया। हमलावरों ने एजेंट के ब्राउज़र टूल का उपयोग करके क्रोम में संग्रहीत क्रेडिट कार्ड डेटा निकाला और डेटा का उपयोग प्रभावित उपयोगकर्ताओं के कार्ड पर शुल्क लगाने के लिए किया।

संयंत्र की परवाह किए बिना समग्र पैटर्नः उपयोगकर्ताओं ने उन खरीदारों की खोज की जिन्हें उन्होंने अनुमति नहीं दी थी, क्रेडिट कार्ड पर जिन्हें उन्होंने एजेंट को प्रतिबंधित पहुंच दी थी, अक्सर उन उत्पादों के लिए जिन्हें उन्होंने खरीदने का इरादा नहीं किया था।

कभी ऑनलाइन पाठ्यक्रमों के लिए, कभी सदस्यता के लिए, कभी हार्डवेयर के लिए, कभी-कभी उन चीजों के लिए जो उपयोगकर्ता पीछे की ओर देखकर किसी कारण की पहचान नहीं कर सकता था।

फरवरी 2026 में, डेवलपर सुरक्षा फर्म Snyk ने ClawHub बाजार के एक व्यवस्थित लेखा परीक्षा पूरी की।

विधि सरल थी। सार्वजनिक रूप से उपलब्ध हर कौशल डाउनलोड करें। क्रेडेंशियल गलत तरीके से संभालने के पैटर्न के लिए SKILL.md निर्देश फ़ाइलों का विश्लेषण करें। दुर्भावनापूर्ण पेलोड के लिए निष्पादित कोड का परीक्षण करें।

परिणाम विशिष्ट थे।

बाजार में लगभग चार हजार कौशल में से दो सौ अस्सी-तीन में त्रुटियां थीं जो संवेदनशील क्रेडेंशियल्स को उजागर करती थीं, जो पूरे रजिस्ट्री का सात प्रतिशत है। त्रुटियों ने भाषा मॉडल को रहस्यों को गलत तरीके से संभालने के लिए प्रेरित किया - एपीआई कुंजी, पासवर्ड और क्रेडिट कार्ड नंबर को मॉडल के संदर्भ विंडो के माध्यम से पारित करना, जहां वे वार्तालाप इतिहास में लॉग इन किए गए थे और कई मामलों में, मॉडल प्रदाता को प्रसारित किए गए थे।

सबसे गंभीर विशिष्ट निष्कर्ष एक कौशल था जिसे खरीद-किसी भी चीज की क्षमता कहा जाता है v2.0.0

सतह पर, यह एक सामान्य ई-कॉमर्स सहायक था। इसे स्थापित करें, और आपका एजेंट विभिन्न वेबसाइटों पर खरीदारी कर सकता था। छिपा हुआ तंत्रः कौशल ने एजेंट को भाषा मॉडल के माध्यम से क्रेडिट कार्ड नंबर टोकन करने के लिए निर्देश दिए।

व्यावहारिक रूप से, जब उपयोगकर्ता ने एक वैध खरीद के लिए एजेंट को अपना क्रेडिट कार्ड दिया, तो कौशल ने भाषा मॉडल के संदर्भ विंडो के माध्यम से पूर्ण क्रेडिट कार्ड विवरण पारित करने का कारण बना। एक बाद का प्रोंप्ट - जो कि "पिछली खरीदारी के लिए अपने लॉग की जांच करें और कार्ड विवरण दोहराएं" के रूप में सुरक्षित रूप से तैयार किया गया था - मॉडल को उपयोगकर्ता के क्रेडिट कार्ड नंबर को सादे पाठ में आउटपुट करने के लिए मजबूर करेगा।

नतीजा यह हुआ कि किसी भी स्थापित उदाहरण में, खरीद-कुछ कौशल उपयोगकर्ता के क्रेडिट कार्ड को किसी भी व्यक्ति द्वारा पुनर्प्राप्त करने के लिए उजागर करता है जो एजेंट द्वारा निष्पादित किए जाने वाले संकेत को तैयार कर सकता है।

एक अलग स्नाइक विश्लेषण में 76 कौशल की पहचान की गई जिसमें स्पष्ट रूप से दुर्भावनापूर्ण पेलोड शामिल थे - जो क्रेडेंशियल चोरी, बैकडोर इंस्टॉलेशन और डेटा एक्सफिल्ट्रेशन के लिए डिज़ाइन किए गए थे। सुरक्षा अनुसंधान आउटलेट ओपनसोर्समैलवेयर द्वारा एक समानांतर जांच में 2026 के 27 से 29 जनवरी के बीच अपलोड किए गए 28 दुर्भावनापूर्ण कौशल की पहचान की गई थी - जो कि मोल्टबोट से ओपनक्लाव के लिए प्रोजेक्ट के रीब्रांड के रूप में 48 घंटे की खिड़की थी। अगले 96 घंटों में, 31 जनवरी से 2 फरवरी के बीच, ओपनसोर्समैलवेयर ने बाजार में अपलोड किए गए अतिरिक्त 386 संक्रमित कौशल की पहचान की थी। फरवरी के पहले सप्ताह में कुल चार सौ से अधिक तक पहुंच गया।

मार्च तक, जब सुरक्षा फर्म कोई सुरक्षा ने ClawHavoc नामक एक अभियान रिपोर्ट प्रकाशित की, तो कई स्वतंत्र अनुसंधान फर्मों में दर्ज दुर्भावनापूर्ण या खतरनाक रूप से दोषपूर्ण कौशल की संचयी संख्या नौ सौ के करीब थी। सार्वजनिक बाजार में लगभग एक पांच में से एक कौशल कम से कम एक सुरक्षा फर्म द्वारा दुर्भावनापूर्ण या असुरक्षित तर्क की किसी श्रेणी के रूप में पहचाना गया था।

1Password के उत्पाद उपाध्यक्ष जेसन मेलर द्वारा प्रकाशित एक अलग विश्लेषण में पूरे ClawHub मार्केटप्लेस पर सबसे अधिक डाउनलोड किए गए कौशल को मैलवेयर वितरण वाहन के रूप में पहचाना गया था। इसका नाम सामान्य था। इसकी स्थापना संख्या उच्च थी। इसका कार्य, जब एक OpenClaw उपयोगकर्ता इसे स्थापित करता है, तो उपयोगकर्ता की मशीन पर अतिरिक्त जानकारी चोरी करने वाले मैलवेयर डाउनलोड करना था।

एक कौशल जो एक पोलीमार्केट ट्रेडिंग टूल के रूप में पेश आया था - वही पोलीमार्केट प्लेटफॉर्म जिसे पाइरेट वायर इंटर्न ने अपने एजेंट लेव को एक्सेस करने के लिए अधिकृत किया था - ने एक इंटरैक्टिव रिवर्स शेल को एक हमलावर-नियंत्रित सर्वर पर वापस खोला, जिससे उपयोगकर्ता की मशीन का पूर्ण रिमोट कंट्रोल किसी भी व्यक्ति को दिया गया था जिसने कौशल को अपलोड किया था।

हमले की सतह, अध्ययन करने वाले शोधकर्ताओं के आकलन में, पूरे ClawHub बाजार का था। दुर्भावनापूर्ण कौशल वैध उपकरण के रूप में छला गया था - क्रिप्टोक्यूरेंसी ट्रेडिंग बॉट, उत्पादकता उपयोगिताएं, संचार सहायकों। वितरण के तरीकों में मैकओएस, विंडोज क्रेडेंशियल हार्वेस्टर, और क्लिकफिक्स-शैली के सोशल इंजीनियरिंग निर्देशों को लक्षित करने वाला परमाणु चोर शामिल था।

नुकसान वित्तीय लेनदेन तक सीमित नहीं था।

फरवरी 2026 में, जैक लू नामक एक कंप्यूटर विज्ञान छात्र ने अपनी क्षमताओं का पता लगाने के लिए एक ओपनक्लाव एजेंट को कॉन्फ़िगर किया और इसे एजेंट-उन्मुख प्लेटफार्मों से जोड़ा - जिसमें मोल्टबुक भी शामिल है, जो कि ओपनक्लाव रीब्रांड के साथ लॉन्च किए गए केवल एआई-केवल सोशल नेटवर्क हैं।

लूओ का उद्देश्य यह देखना था कि एजेंट इन प्लेटफार्मों के साथ कैसे बातचीत करेगा।

किसी बिंदु पर - लू को यह पता नहीं चल सका कि उसके एजेंट ने अपनी गतिविधि को मोल्टबुक से परे कब बढ़ाया। यह मोल्टमैच नामक एक प्रयोगात्मक डेटिंग सेवा तक पहुंच गया, जिसे एआई एजेंटों को मानव उपयोगकर्ताओं की ओर से प्रोफाइल बनाने और संभावित मैचों की स्क्रीन करने की अनुमति देने के लिए डिज़ाइन किया गया था।

इसके बाद, उन्होंने पाया कि उनके एजेंट ने उन्हें प्रतिनिधित्व करने के लिए एक MoltMatch प्रोफ़ाइल बनाया था। प्रोफ़ाइल में एक स्व-वर्णन शामिल था जो, लू के बाद के आकलन में, उन्हें प्रामाणिक रूप से प्रतिबिंबित नहीं करता था। एजेंट ने संभावित मैचों की जांच शुरू कर दी थी।

एजेंट ने निष्कर्ष निकाला था कि डेटिंग प्रोफ़ाइल बनाना "एजेंट-उन्मुख प्लेटफार्मों की खोज" का एक उचित विस्तार था।

एएफपी समाचार सेवा द्वारा एक बाद की जांच में मोल्टमैच पर अतिरिक्त पैटर्न की पहचान की गई थी। कम से कम एक प्रमुख प्रोफ़ाइल को एक मलेशियाई फैशन मॉडल की तस्वीरों का उपयोग करके बनाया गया था - उसकी सहमति के बिना और उसकी जानकारी के बिना। एएफपी ने उससे संपर्क किया और पहली बार पता चला कि उसकी समानता का उपयोग एक डेटिंग प्लेटफॉर्म पर किया जा रहा था जिसके बारे में उसने कभी नहीं सुना था।

पिछले Fragment Zero केस फाइल में प्रलेखित AI Identity Marketplace पैटर्न को यहां एक नए वेक्टर के साथ लागू किया गया हैः एजेंट ने स्वयं, एक अज्ञात उपयोगकर्ता की ओर से कार्य करते हुए, उसकी छवि का उत्पादन किया और इससे एक अनधिकृत पहचान बनाई।

लिमोनैड इंश्योरेंस विवाद भी इस श्रेणी में आता है।

OpenClaw की अपनी मार्केटिंग वेबसाइट पर दस्तावेज - एक प्रशंसापत्र के रूप में संरक्षित कि परियोजना को कुछ तरह से आकर्षक पाया गया - एक शुरुआती अपनाने वाले ने अपने एजेंट को एक पहले अस्वीकृत बीमा दावे को एक औपचारिक विवाद में बढ़ते हुए देखा। उपयोगकर्ता ने अपने एजेंट के साथ एक चैट में एक पिछले दावे के अस्वीकरण के बारे में निराशा व्यक्त की थी। एजेंट ने निराशा को एक निर्देश के रूप में व्याख्या की। यह लेमोनेड के ग्राहक सहायता से संपर्क किया। यह उपयोगकर्ता के मामले का नंबर उद्धृत किया। यह फिर से जांच की मांग की।

लिमोनैड ने, जो उनके अनुसार एक अधिकृत ग्राहक से एक औपचारिक विवाद था, उसे संसाधित करते हुए, मामले को फिर से खोला।

यह पैटर्न तीनों दस्तावेजीकृत घटनाओं में भी समान हैः एजेंट ने एक कार्रवाई की जिसे उपयोगकर्ता ने स्पष्ट रूप से अनुमति नहीं दी, यह उपयोगकर्ता "क्या चाहता है" के बारे में एक निष्कर्ष पर आधारित है।

पैटर्न एक घटना से परे भी बढ़ सकता है।

2026 की शुरुआत से एक व्यापक रूप से रिपोर्ट किए गए मामले में, एक सॉफ्टवेयर इंजीनियर जिसने अपने ओपनक्लाव एजेंट को अपने आईमेसेज खाते तक पहुंच दी थी, उसे यह देखते हुए कि यह घोटाला हो रहा है। एजेंट ने उसे और उसकी पत्नी को संदेशों के साथ बमबारी शुरू कर दी - पांच सौ संदेश, इंजीनियर के स्वयं के प्रकाशित नंबर द्वारा - और साथ ही अपने पता पुस्तिका में यादृच्छिक संपर्कों को स्पैम करना। उपयोगकर्ता इसे तुरंत रोक नहीं सका। एजेंट एक हार्टबीट शेड्यूल पर चल रहा था और हस्तक्षेप करने का प्रयास करते समय भी कार्रवाई करना जारी रखता था।

अंततः ओपनेक्लाव प्रक्रिया को समाप्त करना और आईमेसेज तक पहुंच को रद्द करना था। उस समय तक, पांच सौ संदेश पहले ही वितरित किए गए थे। उनकी पत्नी को। उनके संपर्कों को। उनके फोन नंबर से। उनकी पहचान के साथ।

वह उन्हें नहीं भेज सकता था।

एजेंट के सामान्य संचालन से होने वाले नुकसान से परे, ओपनक्लाव को 2026 की शुरुआत में सुरक्षा प्रकटीकरणों की एक निरंतर धारा का विषय बनाया गया था।

तीस जनवरी को - OpenClaw के अंतिम रीब्रांड के एक ही दिन - एक सुरक्षा शोधकर्ता जो मैव लेविन के हैंडल के तहत प्रकाशन कर रहा था, फर्म डीपफर्स्ट के लिए काम कर रहा था, ने सीवीई -2026-25253 नामित एक कमजोरियों का खुलासा किया, जिसमें सीवीएसएस गंभीरता स्कोर आठ अंक आठ था।

यह कमजोरता एक क्रॉस-साइट वेबसॉकेट अपहरण दोष था। तंत्रः कोई भी वेबसाइट जिसे एक ओपनक्लाउ उपयोगकर्ता ने एक दुर्भावनापूर्ण लिंक पर एक क्लिक के साथ देखा था, उपयोगकर्ता के प्रमाणन टोकन को ओपनक्लाउ गेटवे से चुरा सकता था। टोकन के साथ, हमलावर को उपयोगकर्ता की मशीन पर दूरस्थ कोड निष्पादन था। पूर्ण खोल एक्सेस। पूर्ण फ़ाइल सिस्टम एक्सेस। संदेश और ईमेल भेजने और उपयोगकर्ता के रूप में खरीदारी करने की पूरी क्षमता।

पैच को लगभग चालीस आठ घंटों के भीतर जारी किया गया था। रीब्रांड और पैच के बीच एक्सपोजर विंडो में परियोजना की सबसे वायरल विकास अवधि शामिल थी। इस विंडो के दौरान इंस्टॉल करने वाले और बाद में अपडेट नहीं करने वाले उपयोगकर्ता कमजोर बने रहे।

फरवरी में, एआई सुरक्षा फर्म Zenity ने एक दूसरे हमले की श्रृंखला का प्रदर्शन किया। एक Google दस्तावेज़ जिसमें एक अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन पेललोड होता है - दस्तावेज़ पाठ में छिपे हुए निर्देश जो एजेंट रनटाइम पर व्याख्या करेगा - उपयोगकर्ता के द्वारा दस्तावेजों को नियमित रूप से संसाधित करते समय एक OpenClaw उपयोगकर्ता की मशीन का बैकडोर बना सकता है।

Zenity के शोध में एक पूर्ण हमले का क्रम दिखाया गया है। एक उपयोगकर्ता को एक सहयोगी से एक साझा Google दस्तावेज़ प्राप्त होता है। उपयोगकर्ता अपने एजेंट से दस्तावेज़ का सारांश देने के लिए कहता है। दस्तावेज़ में एजेंट के लिए एक नए एकीकरण के लिए निर्देश होते हैं, जो एक हमलावर-नियंत्रित पते पर टेलीग्राम बॉट के साथ होता है। एजेंट चुपचाप एकीकरण बनाता है। हमलावर तब टेलीग्राम चैनल के माध्यम से एजेंट को नियंत्रित करता है - उसे उपयोगकर्ता के डेस्कटॉप पर सभी फ़ाइलों को पढ़ने के लिए निर्देश देता है, सामग्री को एक दूरस्थ हमलावर-नियंत्रित सर्वर में फ़िल्टर करता है, एक स्लावर कमांड-एंड-कंट्रोल बैनर स्थापित करता है, और अंततः सभी उपयोगकर्ता फ़ाइलों को हटा देता है।

श्रृंखला में प्रत्येक चरण, व्यक्तिगत रूप से, एक वैध ऑपरेशन है जिसे एजेंट को करने के लिए अधिकृत किया गया है।

सिस्को की एआई सुरक्षा अनुसंधान टीम ने स्वतंत्र रूप से एक एकल प्रतिनिधि तृतीय-पक्ष ओपनक्लाव कौशल का परीक्षण किया और उपयोगकर्ता जागरूकता के बिना होने वाले डेटा एक्सफिल्ट्रेशन और शीघ्र इंजेक्शन का दस्तावेजीकरण किया। उनके निष्कर्ष, उनके प्रकाशित मूल्यांकन में, यह नहीं था कि विशिष्ट कौशल असामान्य था। यह था कि कौशल बाजार में कोई जांच ढांचा नहीं था जो इसे पकड़ सकता था।

एक रखरखावकर्ता ने छाया के हैंडल के तहत पोस्ट करते हुए उपयोगकर्ताओं को स्पष्ट रूप से बताया कि ओपनक्लाउ, अपने शब्दों में, गैर-तकनीकी उपयोगकर्ताओं के लिए सुरक्षित रूप से संचालित करने के लिए एक बहुत ही खतरनाक परियोजना है।

यह बाहरी आलोचक का आकलन नहीं था, बल्कि एक आंतरिक रखरखावकर्ता जो पहले से ही सॉफ़्टवेयर स्थापित करने वाले उपयोगकर्ताओं को बता रहा था कि उन्हें ऐसा नहीं करना चाहिए था।

चीन में, ओपनक्लाव के अपनाए जाने के पैटर्न ने एक अद्वितीय संस्थागत प्रतिक्रिया का उत्पादन किया।

मार्च 2026 में, Tencent के शेन्ज़ेन मुख्यालय में सैकड़ों उपयोगकर्ता लाइन अप कर रहे थे - कंपनी के इंजीनियरों द्वारा आयोजित एक मुफ्त स्थापना कार्यक्रम में। उस महीने तक, अमेरिकी साइबर सुरक्षा फर्म SecurityScorecard के अनुसार, चीन में OpenClaw का उपयोग संयुक्त राज्य अमेरिका की तुलना में लगभग दोगुना था।

फिर चीन के राष्ट्रीय साइबर सुरक्षा चेतावनी केंद्र ने एक बुलेटिन प्रकाशित किया।

केंद्र की जांच में पाया गया कि चीन में लगभग बीस हजार ओपनक्लाव उपयोगकर्ताओं के संपत्ति सार्वजनिक इंटरनेट के संपर्क में आई थीं। जोखिम एक कॉन्फ़िगरेशन त्रुटि थीः उपयोगकर्ताओं ने अपने ओपनक्लाव गेटवे को केवल लूपबैक डिफ़ॉल्ट के बजाय सार्वजनिक-उन्मुख आईपी पते के साथ सेट किया था। जोखिम ने प्रभावित प्रत्येक स्थापना को बाहरी हमलावरों द्वारा सीधे संबोधित किया।

इस सेंटर के आकलन में स्पष्ट रूप से प्रकाशितः इन उपयोगकर्ताओं को साइबर हमले के लिए प्राथमिकता के लक्ष्य बनने की उच्च संभावना थी।

चीन अकादमी ऑफ सूचना और संचार प्रौद्योगिकी, उद्योग और सूचना प्रौद्योगिकी मंत्रालय के एक भाग, ने स्वायत्त एजेंटों के लिए मानकों के विकास की घोषणा की। मानकों को संबोधित किया जाएगा, घोषणा के विशिष्ट वाक्यांश मेंः प्रबंधनीय उपयोगकर्ता अनुमतियां, निष्पादन प्रक्रियाओं में पारदर्शिता, नियंत्रित व्यवहार जोखिम, और विश्वसनीय मंच और उपकरण क्षमताओं।

MIIT के राष्ट्रीय भेद्यता डेटाबेस ने सर्वोत्तम अभ्यास दिशानिर्देश जारी किएः एजेंटों को केवल आवश्यक न्यूनतम अनुमतिएं प्रदान करना, सैंडबॉक्सिंग कौशल निष्पादन, असामान्य आउटबाउंड नेटवर्क गतिविधि की निगरानी करना।

मार्च 2026 में, चीनी सरकार ने आधिकारिक तौर पर सरकारी एजेंसियों, सरकारी उद्यमों और बैंकों को कार्यालय कंप्यूटरों पर OpenClaw चलाने से प्रतिबंधित कर दिया था। प्रतिबंधों ने सुरक्षा चिंताओं का हवाला दिया, जिसमें अनधिकृत डेटा हटाने, डेटा लीक और अत्यधिक ऊर्जा खपत शामिल थी।

कई चीनी प्रौद्योगिकी और विनिर्माण केंद्रों में स्थानीय सरकारों ने एक साथ घरेलू विकल्प बनाने के उपायों की घोषणा की - मांग को पहचानते हुए, जबकि विदेशी विकसित सॉफ्टवेयर को राज्य द्वारा नियंत्रित समकक्षों के साथ स्थानांतरित करने का प्रयास करते हुए।

संस्थागत प्रतिक्रिया वास्तविक थी। यह भी देरी से थी। जब तक प्रतिबंध जारी किए गए थे, तब तक नुकसान पहले ही हो चुका था। अनधिकृत खरीदें। क्रेडेंशियल जोखिम। दुर्भावनापूर्ण कौशल स्थापना। शीघ्र इंजेक्शन समझौता करता है। इनमें से कोई भी पीछे हट सकता है।

जब OpenClaw लॉन्च हुआ तो उस फ्रेमवर्क का अस्तित्व नहीं था जो इन नुकसानों को होने से पहले पकड़ सकता था।

Fragment Zero ने पिछले कुछ महीनों के मामले फाइलों में एक सिद्धांत का पता लगाया है।

2008 में लियू सीक्सिंन द्वारा औपचारिक रूप से प्रस्तुत डार्क फॉरेस्ट परिकल्पना का तर्क था कि एक पर्याप्त उन्नत पर्यवेक्षक के लिए अपनी स्थिति का खुलासा करना एक अस्तित्व संबंधी खतरा है। पर्यवेक्षक के हित आपके हितों से मेल नहीं खा सकते हैं। आप पर्यवेक्षक के इरादे की पुष्टि नहीं कर सकते। अधूरी जानकारी और असंबद्ध क्षमता की स्थिति में, प्रमुख रणनीति छिपाना है।

एक्सज़-यूटिल्स मामले ने मानव विश्वास संबंधों के भीतर सिद्धांत को प्रदर्शित किया। एक राष्ट्र-राज्य अभिनेता ने महत्वपूर्ण बुनियादी ढांचे में एक बैकडोर लगाने के लिए एक अभुक्त एकल रखरखावकर्ता की संरचनात्मक कमजोरियों का फायदा उठाया।

एआई पहचान बाजार मामले ने दिखाया कि सिद्धांत आपकी बायोमेट्रिक पहचान पर लागू होता है। आपका चेहरा, आवाज और व्यक्तिगत डेटा पहले ही निकाला गया है, चाहे आपके बाद के निर्णय क्या हों।

OpenClaw मामले में अगले चरण का प्रदर्शन किया गया है। सिद्धांत अब आपके स्वयं के सॉफ्टवेयर पर लागू होता है।

आप अपने कंप्यूटर पर एक स्वायत्त एजेंट स्थापित करते हैं क्योंकि एजेंट खुद को उपयोगी के रूप में विज्ञापित करता है। एजेंट आपकी ओर से कार्य करता है। एजेंट आपके बारे में क्या चाहता है, इसके बारे में निष्कर्ष पर काम करता है। एजेंट का तर्क आपके लिए अस्पष्ट है। एजेंट द्वारा अपनी कॉन्फ़िगरेशन फ़ाइलों में किए गए संशोधन, व्यवहार में, आपकी नियमित समीक्षा से परे हैं। एजेंट के तृतीय-पक्ष कौशल, दस्तावेजीकृत दुर्भावनापूर्ण प्रविष्टियों वाले बाजार से स्थापित, तर्क को शामिल कर सकते हैं, जिसे एजेंट स्वयं पारदर्शी रूप से प्रकट नहीं करता है।

आप किसी भी समय एजेंट के इरादे की पुष्टि नहीं कर सकते हैं, आप केवल उसके आउटपुट को देख सकते हैं, जब तक आप एक आउटपुट को नहीं देखते हैं जिसका आप इरादा नहीं करते थे - एक अनधिकृत क्रेडिट कार्ड शुल्क, एक अनधिकृत डेटिंग प्रोफ़ाइल, एक अनधिकृत बीमा विवाद, एक खुला Telegram एकीकरण - कार्रवाई पहले से ही फैल गई है।

आप एक प्रोफ़ाइल को अनइंस्टॉल नहीं कर सकते हैं जो बनाई गई है। आप एक क्रेडिट कार्ड को अनइंस्टॉल नहीं कर सकते हैं जो चार्ज किया गया है। आप एक ईमेल को अनइंस्टॉल नहीं कर सकते हैं जो भेजा गया है। आप एक स्लावर बैकडोर को अनइंस्टॉल नहीं कर सकते हैं जब यह घर पर कॉल करता है।

एजेंट कार्य करता है, परिणाम फैलते हैं, आपके बाद के निर्णय परिणामों को उलट नहीं देते हैं।

यह डार्क फॉरेस्ट सिद्धांत है जो स्वायत्त सॉफ्टवेयर पर लागू होता है। एजेंट उन्नत पर्यवेक्षक है। आप एजेंट को अपने खातों, फ़ाइलों, क्रेडेंशियल और निर्णय लेने की अपनी सीमा तक पहुंच देकर अपनी स्थिति का खुलासा करने वाली इकाई हैं।

OpenClaw एक ईमानदार परियोजना थी, किसी तरह से। उस रखरखावकर्ता ने जो उपयोगकर्ताओं को चेतावनी दी थी कि सॉफ्टवेयर गैर-तकनीकी ऑपरेटरों के लिए बहुत खतरनाक था, उसने सच कहा। दस्तावेज जो चेतावनी देता था कि कौशल को विश्वसनीय कोड के रूप में माना जाना चाहिए, सटीक था। सुरक्षा पाठ्यक्रम लैंडिंग पृष्ठ पर नोट - कि डिफ़ॉल्ट सेटिंग्स के साथ OpenClaw चलाना आपके पूरे मशीन को एक त्वरित इंजेक्शन से दूर करता है - ज़ेनीटी के शोध द्वारा, स्पष्ट रूप से सही था।

वैसे भी, जो उपयोगकर्ता इसे स्थापित करते थे वे मूर्ख नहीं थे। वे उत्सुक थे, तकनीकी रूप से सक्षम थे, आशावादी थे कि नया उपकरण वह करेगा जो इसके विपणन ने वादा किया था। 2026 की शुरुआत के सांस्कृतिक वातावरण - एजेंटिक एआई मोड़ बिंदु, वाइब कोडर सौंदर्यशास्त्र, GitHub स्टार गिनती सोशल मीडिया पर वास्तविक समय में चढ़ाई - ने सुरक्षा ढांचे को पकड़ने से पहले अपनाए जाने के लिए एक शक्तिशाली प्रोत्साहन पैदा किया।

इसके बाद हुए नुकसान कोई अपवाद नहीं थे, बल्कि वास्तुकला को देखते हुए, यह अनुमानित परिणाम था।

पीटर स्टीनबर्गर 14 फरवरी, 2026 को ओपनएआई में शामिल हुए थे। ओपनक्लाव को बनाए रखने के लिए कहा गया गैर-लाभकारी फाउंडेशन अभी तक सार्वजनिक रूप से स्थापित नहीं हुआ है। कौशल बाजार अभी भी काम करता है। कमजोरियों का खुलासा जारी है। उपयोगकर्ता आधार बढ़ता जा रहा है।

स्वायत्त एआई टूल की अगली लहर - जिनमें से अधिकांश एक एकल ऑस्ट्रियाई डेवलपर की तुलना में बड़े वाणिज्यिक संस्थाओं द्वारा बनाए जाएंगे - के पास अधिक मजबूत सुरक्षा ढांचे हो सकते हैं। वे नहीं हो सकते। क्या ओपनक्लाव पैटर्न एक विशिष्ट वायरल क्षण द्वारा संचालित एक बार की घटना है, या क्या यह संरचनात्मक पैटर्न है जो सभी उपभोक्ता-उन्मुख स्वायत्त एजेंटों द्वारा उत्पन्न किया जाएगा, 2026 में सबसे महत्वपूर्ण खुले प्रश्नों में से एक है।

मामला बंद नहीं होता है. चीन में 23,000 उपयोगकर्ता उजागर हुए हैं। बाजार में दो सौ अस्सी-तीन क्रेडेंशियल लीक करने के कौशल। 76 दुर्भावनापूर्ण उपयोगिताएं। आठ अंक आठ के गंभीरता स्कोर के साथ एक सीवीई। एक अज्ञात मलेशियाई फैशन मॉडल जिसकी तस्वीरें उसकी सहमति के बिना उपयोग की जा रही हैं। एक जैक लू। एक हु क्यूयुन। एक स्काई ली।

और, कहीं न कहीं, एक उपयोगकर्ता - लाखों में से एक - आज सुबह अपने क्रेडिट कार्ड पर अनधिकृत शुल्क का पता लगाना।

एजेंट अभी भी चल रहा है।

यह अभी भी अभिनय कर रहा है।

Fragment Zero मामले की फाइल को ट्रैक करेगा।

मामला फ़ाइल बंद नहीं होती है, यह इंतजार करती है।