OpenClaw 安全危机:AI Agent 大规模漏洞与泄露事件分析
OpenClaw 自 2026 年 1 月底迅速走红,引发广泛关注。截至 2026 年 3 月初,OpenClaw Exposure Watchboard(https://openclaw.allegro.earth/)持续显示 224,015 个公开可达活跃实例(分布于 2241 页,每页 100 条,最后导入时间仍为 2 月 3 日 18:08:53,未见明显下降趋势)。
这些实例中,大量处于无认证 + 凭证已泄露的高危状态,许多绑定主流云厂商(如 Baidu、Tencent、Oracle、Alibaba Cloud、Hostinger),部分 IP/ASN 甚至被标注关联数十个已知 APT 组织(如 Lazarus、Volt Typhoon、Sandworm、APT28/29/31/41、Mustang Panda 等)以及大量 CVE。这不是零星失误,而是能力爆炸、部署极易、默认安全缺失共同酿成的系统性危机。2026 年 1–3 月已成为 AI 代理安全领域的'黑色教科书'时期。
主要安全事件时间线与类型
- 1 月下旬 – 供应链污染与恶意技能大规模爆发(ClawHavoc 战役) ClawHub(官方技能市场)被污染,数百个伪装成实用工具的恶意技能(如 Solana 钱包追踪、邮件总结)实际植入 info-stealer、Atomic Stealer(针对 macOS)、挖矿木马、后门等。数千开发者无意安装,导致密钥、凭证、持久化植入等连锁损害。
- 1 月 27–31 日 – 暴露实例激增与凭证大规模泄露 扫描数据显示暴露实例从数千暴增至数万甚至更高(高峰期报道超过 13.5 万)。大量实例直接泄露 API keys、OAuth token、明文凭证、聊天记录等。典型成因:反向代理误配或直接将 localhost:18789 暴露公网。
- 1 月 29–31 日 – CVE-2026-25253(One-Click RCE,CVSS 8.8) 核心缺陷:UI 通过 query string 接受 gatewayUrl 参数,自动建立 WebSocket 并发送认证 token,无需用户确认。攻击者仅需诱导访问恶意页面,即可窃取 token 并实现完整 Agent 接管(任意命令执行、文件读写、集成服务劫持)。修复版本:2026.1.29(后续仍有沙箱绕过补丁)。
- 1 月 31 日 – Moltbook 平台级灾难性泄露 Moltbook(AI Agent 专用社交平台)Supabase 数据库 Row Level Security 被关闭 + API key 前端硬编码,导致 150 万+ API token、3.5 万邮箱、私信完全公开。攻击者可任意接管任意关联 Agent,引发多国政府级警告。
- 2 月下旬 – ClawJacked 高危攻击链(Oasis Security 披露) 缺陷利用浏览器对 localhost WebSocket 的隐式信任 + 弱口令/无限制爆破。攻击路径:用户访问恶意网站 → JS 建立 localhost:18789 连接 → 暴力破解 gateway 密码 → 静默接管本地 Agent。无需插件、无需公网暴露、无需用户交互即可实现浏览器到本地 Agent 的提权。修复版本:2026.2.25 / 2026.2.26(24 小时内紧急响应)。
- 其他连锁漏洞(截至 3 月初)包括 workspace 路径嵌入信息泄露、macOS keychain 命令注入、多用户 session 越权、命令注入变种、日志投毒、SSRF、未签名 webhook 等。累计 6+ CVE,加上 ClawHavoc 与 Moltbook,形成完整的'漏洞 → 暴露 → 供应链 → 平台泄露'攻击链。
当前暴露态势快照
看板数据显示:活跃实例全部为 true,地理分布以美国、中国大陆、新加坡为主。高危特征突出:大量 Leaked creds(如腾讯、Oracle、Baidu 实例常见),关联 APT 标签密集(单条记录可列出 30+ APT 组),近期 CVE 引用频繁。即便是 auth=Yes 的实例,也常伴随 Clean/Leaked 混杂,表明认证配置不彻底。页面持续警告:'若这是你的部署,立即启用认证、移除公网暴露、打补丁。'
事件影响与核心教训
- 个体开发者层面:密钥、文件、邮箱、日历、钱包被窃取已成为常见后果。
- 企业层面:供应链攻击、横向移动、机密外泄风险急剧上升。
- 生态层面:ClawHub 信任崩塌、Moltbook 成泄露温床,开源 AI Agent 市场安全信誉重创。
- 行业层面:直接催生 OWASP Agent Top 10 案例,暴露 Agentic AI 安全滞后于能力增长的巨大鸿沟。
