OpenClaw etter fem måneder: vekst, AI-slop og å si nei
Dette er et AI-generert sammendrag. Kildevideoen kan inneholde demonstrasjoner, visuelt innhold og ytterligere kontekst.
Kort fortalt
OpenClaw fylte akkurat fem måneder, og skaperen Peter Steinberger gikk på scenen på AI Engineer med tallene. Omtrent 30 000 commits, nesten 2 000 bidragsytere og nær 30 000 pull requests, alt fra en personlig AI-agent som ikke eksisterte i oktober 2025. En commit er én lagret kodeendring, og en pull request (PR) er et endringsforslag som ligger til godkjenning før det legges inn. En venn kaller vekstkurven "stripper pole growth". Den viser ingen tegn til å flate ut.
Men det er ikke historien Steinberger kom for å fortelle.
Historien handler om hva som skjer når verdens raskest voksende open source-AI-prosjekt blir en magnet for AI-genererte sikkerhetsrapporter. I en 44 minutter lang keynote og AMA, altså en åpen spørsmålsrunde, moderert av Shawn Wang (kjent som swyx), går Steinberger gjennom 1 142 sikkerhetsvarsler, et angrep fra en nasjonalstat, en forskningsartikkel som hoppet bukk over sikkerhetsdokumentasjonen, og planen om å bygge en sveitsisk-inspirert stiftelse som skal holde prosjektet uavhengig. Underveis lander han på de to ferdighetene han mener betyr mest i AI-kodingens tidsalder: smak, og å si nei.
Les også:
Vekstkurven, og de to jobbene
Steinberger starter med å spørre salen hvor mange som kjører OpenClaw. Tretti til førti prosent av hendene går opp. Så kommer tallene. Ifølge ham er OpenClaw det raskest voksende prosjektet i GitHubs historie. Andre prosjekter har flere stjerner, men de fleste er rene læringsressurser. "Ingen andre programvareprosjekter er så store," sier han. "Vi har rundt 30 000 commits. Vi nærmer oss 2 000 bidragsytere, og snart 30 000 PR-er."
Bidragsytergrafen er en rett strek oppover som ikke flater ut. En venn døpte formen "stripper pole growth", og kallenavnet festet seg. Steinberger forteller salen at teamet henter ingeniører fra Nvidia, Microsoft, Red Hat, Tencent, ByteDance, Telegram og Salesforce. Kinesiske selskaper er den største brukergruppen, flere enn i noen annen verdensdel.
Ingenting av dette er fulltidsjobben hans. Han begynte også hos OpenAI i februar for å jobbe med å gjøre agenter tilgjengelige for alle. Å drive stiftelsen er ifølge ham "å drive et selskap på hard mode", altså på høyeste vanskelighetsgrad, fordi frivillige ikke kan styres. Han har to jobber, og prosjektet fortsetter å akselerere.
Drukner i slop
Så skifter tonen. "OpenClaw er så usikkert," leser Steinberger fra memene. På fem måneder har prosjektet mottatt 1 142 sikkerhetsvarsler, 16,6 per dag. 99 av dem er kritiske. Teamet har publisert rundt 469 og lukket omtrent 60 prosent.
Som referanse: Linux-kjernen mottar åtte eller ni varsler om dagen. Curl-prosjektet, et av nettets mest brukte åpne verktøy for å hente data over internett, har mottatt 600 totalt gjennom hele sin levetid. OpenClaw får altså dobbelt så mange som Linux-kjernen, og nesten hele curls historikk hver femte måned.
Det meste er slop: AI-genererte rapporter som ser troverdige ut, men ikke beskriver ekte risiko. "Jo høyere de skriker om hvor kritisk det er, desto mer sannsynlig er det slop," sier Steinberger. Han beskriver hundrevis av folk som fyrer opp agentene sine for å prøve å knekke OpenClaw, ikke fordi de forventer å finne noe, men fordi CVE-kreditter teller som karrierekapital. En CVE (Common Vulnerabilities and Exposures) er en offisielt registrert sårbarhet i en felles katalog. Jo flere navnet ditt står på, jo mer synlig blir du.
Dynamikken er ny. AI-verktøy kan nå identifisere "til og med de rareste sammensatte exploits" (angrepsmetoder som utnytter flere sårbarheter i sammenheng), og de kan skrive dem opp på overbevisende engelsk. Tidligere tok det timer med kvalifisert arbeid å skrive en slik rapport. Nå tar det minutter med regnekraft.
Et eksempel Steinberger leser opp har en CVSS-score på 10 av 10. CVSS er en standard skala fra 0 til 10 for å rangere hvor alvorlig en feil er, og 10 er det høyeste. Den faktiske feilen er et grensetilfelle i iPhone-appen, som ennå ikke er lansert, der en lesetilgang kan eskaleres. I praksis, sier han, bruker ingen den funksjonen. Men CVSS-formelen bryr seg ikke om praktiske konsekvenser, og reglene gir høye tall selv for feil som aldri rammer noen.
Ekte trusler finnes også. En nordkoreansk pakke kalt GhostClaw utgir seg for å være prosjektet og installerer et rootkit (skjult skadevare som gir angriperen full kontroll over maskinen) hos alle som laster ned fra feil nettsted. En leverandørkjede-feil i Axios, et mye brukt JavaScript-bibliotek for å hente data fra nettet, dro med seg OpenClaw fordi et av prosjektets egne kodebibliotek hentet inn Axios uten å låse versjonen. Det er reelle hendelser. De drukner bare i slop-strømmen.
Fryktindustrien
Steinberger er direkte om et annet mønster. Det finnes, sier han, en hel industri som prøver å sette prosjektet i et negativt lys: selskaper som selger sikkerhetsprodukter, og universiteter som jakter overskrifter.
Han peker på en forskningsartikkel kalt "Agents of Chaos". Den bruker fire sider på OpenClaw-arkitekturen, og null på sikkerhetssiden som forklarer hvordan du installerer prosjektet trygt. Forskerne kjørte agenten i sudo-modus (som krever at du aktivt endrer kode for å omgå standardgrensene), fordi de ville maksimere hva agenten kunne ødelegge. De fjernet sandkassene. De slapp agenten inn i en gruppesamtale der hvem som helst kunne snakke med den. Deretter publiserte de resultatet som om dette var standardoppførselen.
Et tilsvarende mønster så vi fra Centre for Cybersecurity Belgium: et varsel om ekstern kodekjøring for en feil som kun utløses hvis brukeren ignorerer det anbefalte oppsettet. "Hvis du aktivt kjemper mot oppsettet," sier Steinberger, "klarer du kanskje å få det til."
Han er nøye med å peke på den reelle risikoen også. Ethvert agentisk system (altså et AI-system som selv kan utføre handlinger) med tilgang til data, innhold fra upålitelige kilder og en måte å kommunisere på, har en uløst klasse av sårbarheter. Det er ikke spesifikt for OpenClaw. Det gjelder enhver seriøs agent. Jo mer makt du gir en agent, jo mer kan den gjøre for deg, og jo mer må du forstå hva den faktisk gjør.
Bygger sitt eget Sveits
Svaret på alt dette er ikke flere AI-filtre. Det er en stiftelse.
Steinberger setter opp OpenClaw Foundation som en nøytral non-profit, modellert etter det Ghostty gjorde. Målet er å ansette fulltidsvedlikeholdere, heve kvaliteten på koden, og sørge for at ingen enkeltbedrift kan overta prosjektet. OpenAI har tilbudt ressurser, men han holder bevisst folketallet balansert mellom Nvidia, Microsoft, Telegram, Salesforce, Slack, Tencent og ByteDance. "Jeg bygger liksom Sveits med stiftelsen," sier han. Det siste som står i veien for å få stiftelsen opp å gå, er det amerikanske banksystemet, som han beskriver som tregt og forvirret over søkere som ikke er amerikanske.
Budskapet bak strukturen er enkelt. Når AI gjør det tilnærmet gratis å generere troverdige angrep, er det eneste bærekraftige forsvaret betalte mennesker som har fulltidsjobb med å lese, vurdere og lukke. Mer kode eller mer automatisering kan ikke løpe fra et problem som selv er kode og automatisering.
Ferdighetene som fortsatt teller
Swyx avslutter AMA-en med et spørsmål om Ryan Carsons "dark factory"-arbeidsflyt, der ingeniører ikke gjennomgår koden agentene produserer. Steinberger er uenig. Han har forsøkt det, og han tror ikke god programvare blir bygget slik:
"Veien til fjellet er aldri en rett strek. Av og til går du litt bort fra stien og ser noe nytt som inspirerer deg. Den første ideen du har om prosjektet, blir veldig sjelden det endelige prosjektet."
I stedet snakker han om smak, som han definerer nedenfra og opp. Det laveste nivået av smak er ifølge ham at resultatet ikke stinker AI. Tekst hakket opp i altfor korte setninger. Brukergrensesnitt (UI) med lilla fargeforløp (gradient) og en fargekant til venstre. En chatbot som høres ut som en kundeservicemedarbeider fordi den er trent til det.
Over smak kommer systemdesign. Når agenten kan skrive all kode, er det hardeste å vite hvilken kode som er verdt å skrive. Og over systemdesign peker Steinberger på ferdigheten han selv har måttet lære seg: å si nei.
"Den villeste ideen er bare ett prompt unna. Og vanligvis er én idé aldri problemet. Det er denne ideen og denne ideen og denne ideen, og hvordan alt skal henge sammen. Det er problemet."
Hva denne oppdateringen egentlig sier
Etter fem måneder ser OpenClaw ut som et tidlig varsel fra en ny epoke i open source. Programvare bygges raskere enn noen gang. Den blir også angrepet raskere enn noen gang, ofte av de samme verktøyene som bygde den. Frivillige vedlikeholdere kan ikke løpe fra dette alene, og industrien rundt hjelper ikke alltid til.
Det Steinberger gjør som svar, er gammeldags: ansette folk, bygge institusjoner, ta tunge valg om hva han skal si nei til. Overraskelsen er at det er dette en vedlikeholder som selv har bygget alt med AI, ender opp med å anbefale. Flaskehalsen for open source i 2026 er ikke lenger å skrive kode. Den er et menneske som bestemmer hva som er verdt å ta vare på, og hva som bare er støy forkledd som en CVE.
Ordliste
| Begrep | Forklaring |
|---|---|
| Slop | AI-generert innhold som ser plausibelt ut, men har lav reell verdi. I sikkerhet betyr slop AI-skrevne rapporter som beskriver feil som enten ikke er ekte eller ikke kan utnyttes i praksis |
| Sikkerhetsvarsel (security advisory) | Offisiell rapport om en sårbarhet i programvare, som regel med foreslått fiks og en alvorlighetsscore |
| CVSS (Common Vulnerability Scoring System) | Skala fra 0 til 10 som rater hvor alvorlig en sårbarhet er. Formelen fokuserer på teoretisk påvirkning, ikke om noen faktisk er rammet |
| CVE (Common Vulnerabilities and Exposures) | Offentlig katalog over kjente programvare-sårbarheter, med en unik ID per sak |
| Prompt-injeksjon (prompt injection) | Angrep der skjulte instruksjoner i innhold AI-en leser, lurer den til å gjøre noe brukeren ikke ba om |
| Sandkasse (sandbox) | Isolert miljø som begrenser hva programvare får tilgang til. Reduserer risiko, men også hva agenten får til |
| Ekstern kodekjøring (remote code execution, RCE) | Sårbarhet som lar en angriper kjøre egen kode på en annens maskin. Regnes som en av de alvorligste feiltypene |
| Angrep mot leverandørkjeden (supply chain attack) | Angrep som rammer deg via en avhengighet du bruker, ikke via egen kode. Hvis et bibliotek du bruker blir kompromittert, blir du det også |
| Dark factory | Fabrikk som kjører helautomatisert i mørket. Som arbeidsflyt-metafor: en pipeline der AI gjør alt uten menneskelig gjennomgang |
| Stiftelse (foundation) | Non-profit-organisasjon som eier og forvalter et prosjekt på vegne av fellesskapet, slik at ingen enkeltbedrift kan ta det |
Kilder og ressurser
- AI Engineer: State of the Claw — Peter Steinberger (YouTube, 44 min) — Keynoten og AMA-en artikkelen bygger på
- OpenClaw — offisiell nettside
- OpenClaw — GitHub-repo
- Peter Steinberger — personlig nettside
- Shawn Wang (swyx) — personlig nettside
- AI Engineer — konferansenettside
- NVIDIA NeMo Framework — grunnlaget for NeMo Claw
- Centre for Cybersecurity Belgium (CCB)
- Simon Willison — skapte begrepet "prompt injection"
Vil du vite mer? Se hele videoen på YouTube →