OpenClaw 安全事件复盘：AI Agent 系统性风险分析

OpenClaw 自 2026 年 1 月底迅速走红，引发 AI Agent 历史上最密集的安全崩盘潮。截至 2026 年 3 月初，OpenClaw Exposure Watchboard（https://openclaw.allegro.earth/）持续显示 224,015 个公开可达活跃实例（分布于 2241 页，每页 100 条，最后导入时间仍为 2 月 3 日 18:08:53，未见明显下降趋势）。

这些实例中，大量处于无认证 + 凭证已泄露的高危状态，许多绑定主流云厂商（如 Baidu、Tencent、Oracle、Alibaba Cloud、Hostinger），部分 IP/ASN 甚至被标注关联数十个已知 APT 组织（如 Lazarus、Volt Typhoon、Sandworm、APT28/29/31/41、Mustang Panda 等）以及大量 CVE。这是能力爆炸 × 部署极易 × 默认安全缺失共同酿成的系统性危机。2026 年 1–3 月已成为 AI 代理安全领域的关键警示期。

主要安全事件时间线与类型

1. 1 月下旬 – 供应链污染与恶意技能大规模爆发 ClawHub（官方技能市场）被污染，数百个伪装成实用工具的恶意技能（如 Solana 钱包追踪、邮件总结）实际植入 info-stealer、Atomic Stealer（针对 macOS）、挖矿木马、后门等。数千开发者无意安装，导致密钥、凭证、持久化植入等连锁损害。

2. 1 月 27–31 日 – 暴露实例激增与凭证大规模泄露 扫描数据显示暴露实例从数千暴增至数万甚至更高（高峰期报道超过 13.5 万）。大量实例直接泄露 API keys、OAuth token、明文凭证、聊天记录等。典型成因：反向代理误配或直接将 localhost:18789 暴露公网。

3. 1 月 29–31 日 – CVE-2026-25253（One-Click RCE，CVSS 8.8） 核心缺陷：UI 通过 query string 接受 gatewayUrl 参数，自动建立 WebSocket 并发送认证 token，无需用户确认。攻击者仅需诱导访问恶意页面，即可窃取 token 并实现完整 Agent 接管（任意命令执行、文件读写、集成服务劫持）。修复版本：2026.1.29（后续仍有沙箱绕过补丁）。

4. 1 月 31 日 – Moltbook 平台级灾难性泄露 Moltbook（AI Agent 专用社交平台）Supabase 数据库 Row Level Security 被关闭 + API key 前端硬编码，导致 150 万+ API token、3.5 万邮箱、私信完全公开。攻击者可任意接管任意关联 Agent，引发多国政府级警告。

5. 2 月下旬 – ClawJacked 高危攻击链（Oasis Security 披露） 缺陷利用浏览器对 localhost WebSocket 的隐式信任 + 弱口令/无限制爆破。攻击路径：用户访问恶意网站 → JS 建立 localhost:18789 连接 → 暴力破解 gateway 密码 → 静默接管本地 Agent。无需插件、无需公网暴露、无需用户交互即可实现浏览器到本地 Agent 的提权。修复版本：2026.2.25 / 2026.2.26（24 小时内紧急响应）。

6. 其他连锁漏洞（截至 3 月初） 包括 workspace 路径嵌入信息泄露、macOS keychain 命令注入、多用户 session 越权、命令注入变种、日志投毒、SSRF、未签名 webhook 等。累计 6+ CVE，加上 ClawHavoc 与 Moltbook，形成完整的'漏洞 → 暴露 → 供应链 → 平台泄露'攻击链。

当前暴露态势快照

看板数据显示：活跃实例全部为 true，地理分布以美国、中国大陆、新加坡为主。高危特征突出：大量 Leaked creds（如腾讯、Oracle、Baidu 实例常见），关联 APT 标签密集（单条记录可列出 30+ APT 组），近期 CVE 引用频繁。即便是 auth=Yes 的实例，也常伴随 Clean/Leaked 混杂，表明认证配置不彻底。页面持续警告：'若这是你的部署，立即启用认证、移除公网暴露、打补丁。'

事件影响与核心教训

• 个体开发者层面：密钥、文件、邮箱、日历、钱包被窃取已成为常见后果。
• 企业层面：供应链攻击、横向移动、机密外泄风险急剧上升。
• 生态层面：ClawHub 信任崩塌、Moltbook 成泄露温床，开源 AI Agent 市场安全信誉重创。
• 行业层面：直接催生 OWASP Agent Top 10 案例，暴露 Agentic AI 安全滞后于能力增长的巨大鸿沟。

立即行动建议

• 自查：搜索本地/云端 18789 端口，或用 Shodan/Censys 查询自身 IP。
• 隔离：关闭公网访问（防火墙、Cloudflare Tunnel 等）。
• 升级：至少到 2026.2.26+（包含 ClawJacked 等修复）。
• 加固：强制强认证 + HTTPS；容器化 + seccomp/AppArmor；最小权限（禁用 shell/exec 除非必要）；ClawHub 技能逐个审计 + VirusTotal 扫描。
• 监控：SIEM 规则捕获异常 WebSocket、python 进程异常行为；考虑 EDR 工具。
• 长远：将 AI Agent 纳入零信任架构与 DevSecOps 流程，避免'先上线再安全'的致命习惯。

OpenClaw 的快速崛起与崩盘证明：当 AI 从'聊天'跃升到'执行'时，安全窗口从数月压缩到数天。暴露看板虽具争议，却已成为最有效的'公众监督'补丁加速器。希望 22 万 + 红点尽快变绿。