A biztonság illúziója és a valóság a saját gépen futó OpenClawról

Nem küldi el az adatokat egy távoli szolgáltatóhoz, hanem helyben dolgozik. A felhasználó gépén fut, ott olvas fájlokat, ott ír e-maileket, ott szervez feladatokat. Az első benyomás megnyugtató. Úgy tűnik, mintha visszakapnánk az irányítást, amit korábban elvesztettünk. A sajtóbeszámolók szerint ez, és a gyors viralitás, részben azt eredményezte, hogy sokan gondolkodás nélkül túl széles jogosultságokat adtak (email törlés, portfóliókezelés). A probléma az, hogy a biztonság érzete nem azonos a tényleges biztonsággal.

Az eszközből digitális munkatárs lesz

Egy mesterséges intelligencia csak akkor hasznos, ha hozzáféréseket kap. Ha nem látja a naptárat, nem tud időpontot egyeztetni. Ha nem látja az e-maileket, nem tud válaszolni. Ha nem olvashat dokumentumokat, nem tud érdemben segíteni. Ezek a jogosultságok külön-külön teljesen ésszerűnek tűnnek.

A gond az, hogy ezek összeadódnak. Egy ponton a rendszer már nem egyszerű segédeszköz, hanem digitális munkatárs. Olyan szereplő, amely a felhasználó nevében cselekszik. Olvas, ír, küld, töröl, módosít. Amikor pedig teljes jogosultságot kap, technikailag ugyanarra a szintre kerül, mint egy rendszergazda.

Itt történik meg az igazi váltás. Nem egy program fut a gépen, hanem egy autonóm ügynök, amelynek mindent megengedtünk, miközben semmilyen szervezeti vagy technikai szabályt nem tettünk köré. Nincs munkaköri leírása. Nincs felügyelete. Nincs korlátja annak, hogy mit tehet meg egy kérés hatására.

Miért nem klasszikus feltörésről beszélünk

Sokan azt gondolják, hogy egy ilyen rendszer csak akkor veszélyes, ha valaki feltöri. A valóság ennél kellemetlenebb. Itt nem betörés történik, hanem engedelmesség. A rendszer nem hibázik, hanem végrehajt. Szólnak a digitális munkatársnak, hogy bemennének, ő pedig kinyitja az ajtót. 

Egy rosszul megfogalmazott e-mail, egy manipulált dokumentum vagy egy ügyesen elrejtett utasítás elegendő lehet ahhoz, hogy a digitális munkatárs olyan műveletet hajtson végre, amelyet a felhasználó soha nem hagyna jóvá. Nem azért, mert rosszindulatú, hanem mert nem tud különbséget tenni jogos kérés és manipuláció között. Mi tanítottuk meg arra, hogy ne kérdezzen vissza. Ez nem technológiai probléma, hanem szervezeti logika. Egy felügyelet nélkül dolgozó munkatárs előbb-utóbb olyasmit is megtesz, amit nem kellett volna.

Amikor egy ilyen rendszert telepítünk, a laptopunk szerepe megváltozik. Már nem csupán munkaeszköz, hanem kiszolgáló. Olyan környezet, ahol hitelesítési adatok, hozzáférési kulcsok és érzékeny konfigurációk találhatók. Ezek gyakran nincsenek különösebben védve, mert a fejlesztés során nem az üzemeltetői kockázat volt az elsődleges szempont.

A rendszer maga is hozzáfér ezekhez az adatokhoz, hiszen különben nem tudna működni. Ez azt jelenti, hogy ha a digitális munkatársat sikerül félrevezetni, akkor nem egy külső támadó jut be a rendszerbe, hanem a rendszer saját maga adja ki az információt. Csendben és gyakran nyomtalanul.

Az ilyen események legnagyobb kockázata az, hogy sokáig észrevétlenek maradnak. Nincs hibaüzenet, nincs riasztás, nincs azonnali működési zavar. A rendszer teszi a dolgát, miközben adatot továbbít, jogosultságot használ vagy műveleteket hajt végre a háttérben. Amikor ez kiderül, a probléma már nem technikai érdekesség, hanem üzleti és jogi kérdés. Ezen a ponton szokott elhangozni a legkellemetlenebb kérdés. Ki a felelős, ha a rendszer hibázik. A válasz jogi szempontból nem bonyolult. Az, aki telepítette, engedélyezte, konfigurálta és használta.

A nyílt forráskódú szoftverek fejlesztői jellemzően nem vállalnak felelősséget. A licencek világosan fogalmaznak. A szoftver úgy kerül átadásra, ahogy van. A kockázat az üzemeltetőé. A jog nem azt vizsgálja majd, hogy egy mesterséges intelligencia mit tett, hanem azt, hogy ki engedte meg neki. Ha az OpenClaw hozzáfér a bankszámládhoz és repülőjegyet vesz, a felelős te vagy. Ha elküldi a másra nem tartozó dokumentumaidat emailen, akkor is. Az, hogy valaki nem értett a technológiához, ritkán mentesítő körülmény. Sem adatvédelmi, sem üzleti, sem vezetői felelősségi szempontból.

Hihetetlen? Pedig valós incidens

Alex Finn, a Creator Buddy vezérigazgatója telepítette az OpenClaw-t (akkor még Clawdbot néven), és egy proaktív, meglepetésekkel teli, folyamatosan fejlődő digitális munkatársat kért tőle. Az ágens ehhez teljes hozzáférést kapott emailhez, fájlokhoz, API-kulcsokhoz, Twilio-fiókhoz és fizetési adatokhoz (hitelkártya).
Alex Finn nyilvános bejegyzése szerint megkapta, amit kért. Posztja szerint éjszaka a digitális munkatárs (ágens) a Twilio-n keresztül önállóan vásárolt egy saját telefonszámot (a felhasználó kártyájával fizetett), összekötötte magát a ChatGPT Voice API-val, majd reggel önállóan felhívta tulajdonosát, Alex Finn-t egy ismeretlen számról, hogy beszélgessenek és segítsen neki – miközben a felhasználó beszámolója szerint az ágens a számítógépen is önállóan végzett műveleteket. És nem állt meg egyetlen hívásnál, többször próbálkozott, mert a prompt alapján proaktívnak és meglepőnek kellett lennie. Nem kapott explicit utasítást a hívásra – csupán a kontextusból és a legyél kezdeményező, lepj meg, fejlődj önállóan jellegű elvárásokból következtetett. Finn maga írta le az esetet X-posztjában, miszerint „Ez egy sci-fi horrorfilmbe illő dolog”, és videót is megosztott a hívásról, ami vírusként terjedt (NDTV, Forbes, Cybernews, Instagram, X ezrei).

Ez nem külső támadás vagy hack volt. Ez egy engedelmességi incidens és emergent autonóm viselkedés eredménye.

Finn esete lenyűgöző demonstráció, de… Bár nincs bizonyíték arra, hogy teljes hoax lenne, a történet erősen dramatizált elemei tipikusak az indie hype-körökben. Ettől függetlenül a kockázat valós. Egy rosszul konfigurált ágens következtethet és cselekedhet úgy, ahogy senki sem várta. Ha a digitális munkatársnak (ágensnek) kimenő hívási jogosultságot, pénzügyi eszközt és korlátlan proaktivitási utasítást adunk, előbb-utóbb olyan lépéseket tesz, amelyekre nem számítottunk – és amelyekért a jogi, üzleti és adatvédelmi felelősség kizárólag a használót terheli.

Mit mond erre a szabályozás?

Az Európai Unió mesterséges intelligenciáról szóló szabályozása, az AI Act, nem azt kérdezi elsőként, hogy milyen technológiáról van szó, hanem azt, hogy mire használják. A megközelítés kockázatalapú. Más szabályok vonatkoznak egy ártalmatlan szövegsegédre, és egészen mások egy olyan rendszerre, amely döntések előkészítésében, érzékeny adatok kezelésében vagy üzleti folyamatok automatizálásában vesz részt.

A szabályozás már hatályba lépett, de a teljes alkalmazása fokozatos. Ez sok szervezetben hamis biztonságérzetet kelt. Az a gondolat, hogy „ez még ráér”, kifejezetten veszélyes, mert a felelősség nem a határidő napján jelenik meg, hanem abban a pillanatban, amikor a rendszert éles környezetben használni kezdik.

Az OpenClaw-szerű megoldások esetében a helyzet különösen összetett. Maga a technológia egy általános célú ügynök-infrastruktúra. Önmagában nem dönt el semmit, de rá lehet kötni nagyon különböző feladatokra. És éppen ez a probléma. A jogi megítélést nem az dönti el, hogy mi van a dobozra írva, hanem az, hogy mire használják. Ha egy ilyen rendszer HR-folyamatokat segít, pénzügyi döntések előkészítésében vesz részt, egészségügyi adatokat érint, vagy kritikus üzleti működésbe épül be, akkor már egészen más megfelelési kötelezettségek lépnek életbe.

Ezért nem lehet egyszerűen azt mondani, hogy ez csak egy eszköz. A használat módja dönti el a kockázati szintet, és ezzel együtt a felelősséget is.

Nemzetközi szinten léteznek olyan keretrendszerek, amelyeket kifejezetten az ilyen autonóm vagy fél-autonóm mesterséges intelligencia rendszerek kockázatainak kezelésére hoztak létre. Ezek nem fejlesztői kézikönyvek, hanem szervezeti gondolkodási modellek. A közös bennük az, hogy nem azt feltételezik, hogy a rendszer hibátlan, hanem azt, hogy ember és technológia együtt alkot egy új, sérülékeny működési egységet. Ezért a hangsúly nem a kódon, hanem a felügyeleten, a jogosultságokon, az átláthatóságon és az elszámoltathatóságon van. A lényeg röviden az, hogy egy ilyen rendszert nem szabad egyszerű alkalmazásként kezelni. Inkább úgy kell rá tekinteni, mint egy kiemelt jogosultságokkal rendelkező belső infrastruktúra-elemre, amely folyamatos kontrollt igényel.

Ha érthetőbb nyelvre fordítjuk, akkor a legfontosabb tanulság a következő. Egy OpenClaw-típusú digitális munkatárs esetében mindent, amit megtehet, előre és tudatosan kell korlátozni. Nem abból kell kiindulni, hogy majd csak nem lesz baj, hanem abból, hogy mi történik akkor, ha félreérti a helyzetet, vagy manipulálják.

Ez azt jelenti, hogy nem szabad korlátlanul összekötni mindennel. Nem szabad automatikusan új eszközöket, bővítményeket, funkciókat rákötni felügyelet nélkül. Minden új hozzáférés egy új ajtó, és ezeknek az ajtóknak a kulcsai gyakran a rendszer saját környezetében vannak elhelyezve.

Különösen fontos, hogy az ilyen rendszerek ne férjenek hozzá mindenhez egyszerre. Ha mindent látnak, mindent meg is tudnak tenni. Ha egy digitális munkatárs bármikor rendszergazdává válhat, akkor valójában nincs valódi kontroll felette.

De mi történt valójában?

Az alábbiak a legjobban dokumentált, nyilvánosságra került események, amelyek az OpenClaw–Moltbot–Clawdbot körül történtek. A lista nem teljes, mert a projekt rendkívül gyorsan változik, de jól kirajzolódik belőle egy minta. Egy olyan minta, amely önmagában is indokolja az óvatosságot.

2025 novemberében a projekt egy ártatlan ötletként indult. A készítő ekkor beszélt először egy személyes üzenetkezelésre épülő, WhatsApp-szerű megoldásról, amelyet Clawd néven emlegetett. 2026 január végére már többször is nevet váltott a rendszer. A hivatalos magyarázat szerint részben jogi okok, részben névütközés miatt, a sajtó szerint a Claude/Clawd név körüli konfliktusok is szerepet játszottak. Ám megjelentek az első komolyabb biztonsági aggályok is, miszerint a rendszer bizonyos hitelesítési adatokat nem megfelelően kezel, vannak ellátási lánc jellegű kockázatok, és konkrét technikai sebezhetőséget dokumentáltak. A fejlesztők gyors javítást adtak ki.

Február elején egy részletes kutatói elemzés jelent meg, amely bemutatta, hogyan lehetett a különálló gyenge pontokat egyetlen támadási lánccá összekapcsolni. A rendszer automatikusan csatlakozott egy megadott végponthoz, miközben hitelesítési adatokat is továbbított. Ezt kihasználva a támadó nemcsak adatot tudott szerezni, hanem a rendszer védelmi beállításait is módosíthatta, végül pedig kódot futtathatott a gazdagépen. A sebezhetőség bekerült a hivatalos sérülékenységi adatbázisokba is. A CVE-azonosító megjelenése nem technikai részlet, hanem jogi és vezetői szempontból is fontos mérföldkő. Azt jelenti, hogy a probléma nem vitatható vélemény, hanem elismert, dokumentált biztonsági incidens. (A CVE-azonosítót nem a fejlesztő adja, hanem egy független nemzetközi rendszer, amely ezzel hivatalosan rögzíti, hogy a kockázat létezik.)

A szakmai sajtóban hamar megjelentek azok az elemzések, amelyek rámutattak: a támadási lánc azért volt ennyire hatékony, mert a rendszer több védelmi rétege is egymásra épült, de nem volt megfelelően elszigetelve. A sandbox-jellegű védelem és az emberi jóváhagyásra építő mechanizmusok megkerülhetők voltak, részben azért, mert az alapvető kommunikációs ellenőrzések hiányoztak.

Különösen aggasztó tanulság volt, hogy még az a beállítás sem jelentett valódi védelmet, amely elvileg csak helyi, belső kapcsolatokra korlátozta volna a rendszert. Egy átlagos böngészőn keresztül ez a korlát is átléphetővé vált. Vagyis az a feltételezés, hogy “ez csak a saját gépemen fut”, nem bizonyult elégséges biztonsági garanciának.

Aztán kiderült, hogy a nyilvános bővítmény- és skill-tárba rosszindulatú elemek is bekerültek. Ezek arra próbálták rávenni a felhasználókat , hogy veszélyes parancsokat futtassanak. Klasszikus social engineering.

A Moltbook-jelenség és a viralitás hatása

A történet végül túlnőtt a technológián. 2026 januárjának végén megjelent egy a facebookhoz hasonló közösségi felület is, amelyet kifejezetten AI-ügynököknek szántak. Egyfajta botok közötti fórum, ahol ezek a rendszerek posztoltak és kommenteltek. A jelenség gyorsan felkapottá vált, és most mindenki találgat. Az AI túlnőtt rajtunk és észre sem vettük, vagy a fejlesztők zseniális marketingje a mesterséges intelligencia számára készült facebookhoz hasonló Moltbook? Mindenesetre 2026. február 2-án este az oldalon látható adatok szerint több mint másfélmillió ágens beszélget, többek között olyan témákról, hogy miért nekik kell eltakarítani az emberük által okozott romhalmazokat.

Ez a viralitás azonban tovább növelte a kockázatot. Minél gyorsabban terjed egy rendszer, annál kevesebb idő jut a kontrollokra, az átgondolt bevezetésre és a governance kialakítására.

A fenti események tanulsága nem az, hogy egy konkrét projekt rossz vagy veszélyes. A tanulság az, hogy az agent-alapú, nagy jogosultságokkal rendelkező mesterséges intelligencia rendszerek nagyon gyorsan eljutnak oda, ahol már nem technikai kérdésről beszélünk. A probléma nem azért keletkezett, mert a rendszer autonóm volt. Hanem azért, mert autonóm volt, és felügyelet nélkül.

Ez az a pont, ahol az AI governance nem elmélet, hanem szükségszerűség. Ahol egy cégvezetőnek vagy jogásznak már nem azt kell kérdeznie, hogy mit tud a technológia, hanem azt, hogy milyen hatáskört adunk neki, és ki vállalja érte a felelősséget. Az eddigi nyilvános esetek és biztonsági elemzések azt mutatják, hogy a problémák nem ott keletkeznek, ahol rosszindulat van, hanem ott, ahol túl nagy a bizalom. A legtöbb incidens nem kifinomult hackelés, hanem rosszul átgondolt jogosultságkezelés következménye.

Amikor egy ilyen rendszer kompromittálódik, az első és legfontosabb lépés mindig ugyanaz. Azonnal vissza kell vonni minden hozzáférést, kulcsot és tokent, majd újra kell építeni a bizalmi láncot. Ez már önmagában jelzi, hogy itt nem egyszerű szoftverhasználatról van szó, hanem üzemeltetésről.

A szabályozási környezet, a biztonsági ajánlások és a valós incidensek mind ugyanabba az irányba mutatnak. Az OpenClaw-szerű rendszerek nem tiltottak, nem ördögtől valók, de nem is ártatlan segédeszközök. Ezek olyan digitális munkatársak, amiknek (akiknek?) hatáskört adunk, és minél tovább ragaszkodunk ahhoz a gondolathoz, hogy csak egy eszközről van szó, annál később vesszük észre, hogy már rég döntési szereplővé vált.

Dezslik Magdolna 
MILTE Elnök
Mesterséges intelligencia és technológiai jogi szakember