OpenClaw 安全崩盘：史上最快 AI Agent 灾难潮

OpenClaw 自 2026 年 1 月底迅速走红，我们也是对此关注，从其在GitHub star 的暴增，同时也引发了 AI Agent 历史上最密集、最迅猛的安全崩盘潮。截至 2026 年 3 月初，OpenClaw Exposure Watchboard（https://openclaw.allegro.earth/）持续显示 224,015 个公开可达活跃实例（分布于 2241 页，每页 100 条，最后导入时间仍为 2 月 3 日 18:08:53，未见明显下降趋势）。

这些实例中，大量处于 无认证 + 凭证已泄露 的高危状态，许多绑定主流云厂商（如 Baidu、Tencent、Oracle、Alibaba Cloud、Hostinger），部分 IP/ASN 甚至被标注关联数十个已知 APT 组织（如 Lazarus、Volt Typhoon、Sandworm、APT28/29/31/41、Mustang Panda 等）以及大量 CVE。这不是零星失误，而是能力爆炸 × 部署极易 × 默认安全缺失 共同酿成的系统性危机。2026 年 1–3 月已成为 AI 代理安全领域的“黑色教科书”时期。

主要安全事件时间线与类型

1. 1 月下旬 – 供应链污染与恶意技能大规模爆发（ClawHavoc 战役）ClawHub（官方技能市场）被污染，数百个伪装成实用工具的恶意技能（如 Solana 钱包追踪、邮件总结）实际植入 info-stealer、Atomic Stealer（针对 macOS）、挖矿木马、后门等。数千开发者无意安装，导致密钥、凭证、持久化植入等连锁损害。
2. 1 月 27–31 日 – 暴露实例激增与凭证大规模泄露扫描数据显示暴露实例从数千暴增至数万甚至更高（高峰期报道超过 13.5 万）。大量实例直接泄露 API keys、OAuth token、明文凭证、聊天记录等。典型成因：反向代理误配或直接将 localhost:18789 暴露公网。
3. 1 月 29–31 日 – CVE-2026-25253（One-Click RCE，CVSS 8.8）核心缺陷：UI 通过 query string 接受 gatewayUrl 参数，自动建立 WebSocket 并发送认证 token，无需用户确认。攻击者仅需诱导访问恶意页面，即可窃取 token 并实现完整 Agent 接管（任意命令执行、文件读写、集成服务劫持）。修复版本：2026.1.29（后续仍有沙箱绕过补丁）。
4. 1 月 31 日 – Moltbook 平台级灾难性泄露Moltbook（AI Agent 专用社交平台）Supabase 数据库 Row Level Security 被关闭 + API key 前端硬编码，导致 150 万+ API token、3.5 万邮箱、私信完全公开。攻击者可任意接管任意关联 Agent，引发多国政府级警告。
5. 2 月下旬 – ClawJacked 高危攻击链（Oasis Security 披露）缺陷利用浏览器对 localhost WebSocket 的隐式信任 + 弱口令/无限制爆破。攻击路径：用户访问恶意网站 → JS 建立 localhost:18789 连接 → 暴力破解 gateway 密码 → 静默接管本地 Agent。无需插件、无需公网暴露、无需用户交互即可实现浏览器到本地 Agent 的提权。修复版本：2026.2.25 / 2026.2.26（24 小时内紧急响应）。
6. 其他连锁漏洞（截至 3 月初）包括 workspace 路径嵌入信息泄露、macOS keychain 命令注入、多用户 session 越权、命令注入变种、日志投毒、SSRF、未签名 webhook 等。累计 6+ CVE，加上 ClawHavoc 与 Moltbook，形成完整的“漏洞 → 暴露 → 供应链 → 平台泄露”攻击链。

当前暴露态势快照

看板数据显示：活跃实例全部为 true，地理分布以美国、中国大陆、新加坡为主。高危特征突出：大量 Leaked creds（如腾讯、Oracle、Baidu 实例常见），关联 APT 标签密集（单条记录可列出 30+ APT 组），近期 CVE 引用频繁。即便是 auth=Yes 的实例，也常伴随 Clean/Leaked 混杂，表明认证配置不彻底。页面持续警告：“若这是你的部署，立即启用认证、移除公网暴露、打补丁。” 并推广 Vivgrid 等企业级安全方案。

事件影响与核心教训

个体开发者层面：密钥、文件、邮箱、日历、钱包被窃取已成为常见后果。 企业层面：供应链攻击、横向移动、机密外泄风险急剧上升。 生态层面：ClawHub 信任崩塌、Moltbook 成泄露温床，开源 AI Agent 市场安全信誉重创。 行业层面：直接催生 OWASP Agent Top 10 案例，暴露 Agentic AI 安全滞后于能力增长的巨大鸿沟。

立即行动建议

• 自查：搜索本地/云端 18789 端口，或用 Shodan/Censys 查询自身 IP。
• 隔离：关闭公网访问（防火墙、Cloudflare Tunnel 等）。
• 升级：至少到 2026.2.26+（包含 ClawJacked 等修复）。
• 加固：强制强认证 + HTTPS；容器化 + seccomp/AppArmor；最小权限（禁用 shell/exec 除非必要）；ClawHub 技能逐个审计 + VirusTotal 扫描。
• 监控：SIEM 规则捕获异常 WebSocket、python 进程异常行为；考虑 EDR 工具。
• 长远：将 AI Agent 纳入零信任架构与 DevSecOps 流程，避免“先上线再安全”的致命习惯。

OpenClaw 的快速崛起与崩盘证明：当 AI 从“聊天”跃升到“执行”时，安全窗口从数月压缩到数天。暴露看板虽具争议，却已成为最有效的“公众羞耻”补丁加速器。希望 22 万+ 红点尽快变绿。

安全第一——爪子再锋利，也得先学会收回去。