OpenClaw 暴露面分析:当火爆的 AI 代理框架成为攻击者的“肥肉”

优质文章学习记录

7 min read
OpenClaw 暴露面分析:当火爆的 AI 代理框架成为攻击者的“肥肉”

OpenClaw 暴露面分析:当火爆的 AI 代理框架成为攻击者的“肥肉”

从 25 万公开实例看 AI 服务的安全底线

1. 引言

2026 年初,一个名为 OpenClaw 的开源 AI 代理框架在 GitHub 上异军突起,星标增长速度一度超越 React,成为开发者圈内炙手可热的项目。它让用户能够快速搭建高度可定制的私人 AI 助手,支持微信、企业微信、腾讯云、百度等中国生态服务,也兼容主流国际平台。

然而,火爆的背后隐藏着巨大的安全危机:大量用户直接将 OpenClaw 实例部署在公网,未启用任何认证措施,导致这些“AI 代理”成为公开可访问的端点。更可怕的是,一个名为 OpenClaw Watchboard 的监控网站正在实时追踪这些暴露的实例,数量高达 25.8 万,并标记了其中存在凭证泄露、已知漏洞、甚至与 APT 团伙关联的实例。

作为一名既热爱 AI 技术又从事网络安全工作的工程师,我第一时间分析了这份暴露面数据。本文将深入解读 OpenClaw 的架构、暴露风险、Watchboard 的威胁情报,并为部署者提供切实可行的加固方案。

2. OpenClaw 是什么?

OpenClaw(原 Clawdbot)是一个用 TypeScript 开发的开源 AI 代理框架。它的核心能力包括:

  • 多平台集成:深度适配微信、企业微信、钉钉、飞书、Slack、Discord 等。
  • 多代理协作:支持多个 AI 代理分工协作完成任务。
  • 任务自动化:可调用外部工具(搜索引擎、API、数据库)执行复杂工作流。
  • 中国生态友好:内置对腾讯云、百度 AI、阿里云等服务的调用支持。

正是这种“即插即用”的便捷性,使得许多开发者和企业快速部署了 OpenClaw,却忽略了最基本的安全配置——访问控制。

3. 暴露风险:为什么 25 万实例“裸奔”?

从 Watchboard 的数据看,大部分暴露的实例直接使用 IP 地址或未加保护的域名,默认不启用认证。攻击者一旦发现这些端点,可以:

  • 直接调用 AI 代理功能:窃取对话历史、滥用代理调用内部系统。
  • 利用凭证泄露:Watchboard 中标记了部分实例“has_leaked_creds”,意味着环境变量或配置文件中包含云服务密钥、数据库密码等敏感信息。
  • 植入恶意指令:通过未授权接口让 AI 代理执行危险操作,如发送钓鱼邮件、删除数据。
  • 作为跳板进入内网:如果实例部署在企业内部网络并暴露,攻击者可借此横向移动。
在这里插入图片描述

更令人担忧的是,Watchboard 关联了威胁情报,显示某些实例与 APT15、APT17、APT28 等已知威胁行为者有关。这可能意味着攻击者已经在利用这些暴露的实例进行攻击活动。

4. OpenClaw Watchboard 深度解析

Watchboard 网站(openclaw.allegro.earth)本质上是一个公共威胁情报仪表盘,实时监控全球所有公开可达的 OpenClaw 实例。主要功能包括:

  • 实时列表:分页展示 258,305 个实例(数据截至 2026 年 5 月 3 日),每页 100 条,共 2584 页。
  • 关键字段
    • Endpoint:实例地址(IP:端口或域名)
    • Assistant Name:助手名称(可能泄露用途)
    • Country:国家/地区(使用旗帜标识)
    • auth_required:是否要求认证(大量为 false)
    • has_leaked_creds:是否发现泄露的凭证
    • ASN / 组织 / 云服务商:如腾讯云、阿里云、AWS、SberCloud 等
    • first_seen / last_seen:首次和最后发现时间
    • 威胁情报:关联的 APT 组织、CVE 漏洞列表

4.1 地理与云服务分布

根据示例数据,暴露实例主要集中在中国大陆、香港、俄罗斯、美国、新加坡等地。云服务商方面,腾讯云、阿里云、AWS 占据前列。这反映出 OpenClaw 在中国开发者中的流行程度,也意味着国内云用户需要特别关注自身资产。

4.2 威胁标记

部分实例被标记为“has_leaked_creds”或关联 APT 组织。例如,某些 IP 同时出现在已知恶意活动中,可能已经被入侵并作为 C2 节点。Watchboard 还会列出相关 CVE 编号,提示实例可能存在的漏洞版本。

5. 数据分析:暴露背后的安全隐患

我随机抽取了 Watchboard 的部分公开数据(仅从截图可见)进行分析,发现几个典型问题:

  • 认证缺失率极高:大多数实例未启用认证,任何人都可以访问。
  • 凭证泄露普遍:少量实例已标记泄露,实际比例可能更高。
  • 云厂商成为“重灾区”:主流云平台由于用户基数大,暴露实例数量多,但并非云厂商自身漏洞,而是用户配置不当。
  • 老旧版本仍在线:部分实例可能运行存在已知漏洞的版本,给攻击者可乘之机。

6. 安全建议:如何保护你的 OpenClaw 实例?

如果你是 OpenClaw 用户,请立即采取以下措施:

6.1 立即启用认证

OpenClaw 支持多种认证方式(API Key、OAuth、JWT)。永远不要将实例暴露在公网而不加认证。配置方法可参考官方文档或社区指南。

6.2 移除不必要的公网暴露

  • 使用内网部署,仅通过 VPN 或跳板机访问。
  • 如需对外提供服务,务必使用反向代理并强制 HTTPS,同时配置 IP 白名单。

6.3 定期更新和漏洞扫描

关注 OpenClaw 官方发布的安全更新,及时打补丁。使用漏洞扫描工具检查实例是否存在已知 CVE。

6.4 审查凭证和配置

检查所有环境变量、配置文件中是否包含敏感信息(云密钥、数据库密码等)。启用密钥管理服务,避免硬编码。

6.5 考虑使用专业安全方案

Watchboard 推荐了 Vivgrid(vivgrid.com),这是 Allegro Earth 旗下的企业级 AI 代理部署平台,提供认证、模型网关、成本跟踪、可观测性等能力。对于大规模部署,使用这类托管服务可大幅降低安全风险。

在这里插入图片描述

7. 总结与呼吁

OpenClaw 的火爆反映了 AI 代理技术的普及趋势,但安全意识的滞后让大量实例沦为“数字僵尸”。Watchboard 的出现是一记警钟:任何暴露在公网的服务都可能被自动化工具扫描并利用。作为开发者,我们不能只追求功能而忽视安全底线;作为安全工程师,我们有责任推动团队将安全左移,在部署之初就融入安全设计。

最后,无论你是 AI 爱好者还是企业 IT 人员,请务必访问 OpenClaw Watchboard 自查你的 IP 是否在列表中。如果发现自己的实例暴露,请立即修复!AI 时代,安全仍是基石。

参考资料

  • OpenClaw Watchboard:https://openclaw.allegro.earth/
  • Vivgrid 官网:https://vivgrid.com
  • 本文部分数据来源于网络公开信息,仅用于安全研究。

Read more

AIGC大模型系统化学习路径:从理论到工业级实战指南

快速体验 在开始今天关于 AIGC大模型系统化学习路径:从理论到工业级实战指南 的探讨之前,我想先分享一个最近让我觉得很有意思的全栈技术挑战。 我们常说 AI 是未来,但作为开发者,如何将大模型(LLM)真正落地为一个低延迟、可交互的实时系统,而不仅仅是调个 API? 这里有一个非常硬核的动手实验:基于火山引擎豆包大模型,从零搭建一个实时语音通话应用。它不是简单的问答,而是需要你亲手打通 ASR(语音识别)→ LLM(大脑思考)→ TTS(语音合成)的完整 WebSocket 链路。对于想要掌握 AI 原生应用架构的同学来说,这是个绝佳的练手项目。 从0到1构建生产级别应用,脱离Demo,点击打开 从0打造个人豆包实时通话AI动手实验 AIGC大模型系统化学习路径:从理论到工业级实战指南 背景痛点分析 当前开发者在AIGC应用落地过程中普遍面临三大核心挑战: 1. 模型选择困难症:开源模型如GPT-3、Claude、LLaMA等参数规模从7B到175B不等,不同架构的推理效果与计算成本差异显著。部分团队盲目追求大参数模型,导致推理延迟超标。

无需任何拓展Copilot接入第三方OpenAI接口教程

禁止搬运,转载需标明本文链接 省流:修改"C:\Users\你的用户名称\.vscode\extensions\github.copilot-chat-0.35.0\package.json"中的"when": "productQualityType != 'stable'"为"when": "productQualityType == 'stable'",即可在copilot添加支持openAI的第三方接口 我在寻找怎么让copilot接入第三方接口的时候,通过别人的贴子(长期有效)接入第三方 OpenAI 兼容模型到 GitHub Copilot-ZEEKLOG博客发现了官方的讨论Add custom OpenAI endpoint configuration
Copilot、Codeium 软件开发领域的代表性工具背后的技术

Copilot、Codeium 软件开发领域的代表性工具背后的技术

早期, Claude、Copilot、Codeium新兴的AI代码助手,模型的温度、切片的效果、检索方式、提示词的约束、AI 回复的约束、最终数据处理;整个环节,任何一个地方都可能造成最终效果不理想。 旨在通过代码生成、代码补全、代码解释和调试等多种功能,帮助开发者减少重复劳动,提高开发效率。尽管Codeium已经取得了显著的成果,但在处理复杂的代码任务、跨文件的修改以及支持定制化库和框架方面仍面临一定的局限性。 2020 年,OpenAI发布的GPT-3模型使AI生成代码的能力得以广泛应用,标志着AI代码助手的转型。2021年,GitHub 推出基于OpenAI Codex的 Copilot,提供实时代码补全和生成能力,提升开发效率,支持跨文件复杂任务。 其痛点,在大规模代码生成、跨文件任务处理以及定制化框架支持方面的局限性仍然限制了其在复杂项目中的应用。 2023年,Claude 3.5等新一代大型语言模型陆续出世,有效提升了自然语言理解与代码生成的能力。这类模型集成了代码生成、调试和文档自动生成等多项功能,能够帮助开发者快速编写高质量代码、优化程序性能并自动修复错误。随着

GLM-4.7-Flash实战教程:基于GLM-4.7-Flash构建本地Copilot工具

GLM-4.7-Flash实战教程:基于GLM-4.7-Flash构建本地Copilot工具 1. 为什么需要本地Copilot工具 在日常编程和工作中,我们经常需要代码建议、文档生成、问题解答等AI辅助功能。虽然云端AI服务很方便,但存在网络延迟、隐私安全、使用成本等问题。基于GLM-4.7-Flash构建本地Copilot工具,可以让你: * 完全离线运行:不依赖网络,响应速度极快 * 数据隐私安全:所有对话和代码都在本地处理 * 定制化能力强:可以根据自己的需求调整模型行为 * 成本可控:一次部署,长期使用,无按次付费 GLM-4.7-Flash作为最新的开源大模型,在代码理解和生成方面表现出色,特别适合作为本地编程助手。 2. 环境准备与快速部署 2.1 硬件要求 为了流畅运行GLM-4.7-Flash,建议准备以下硬件环境: * GPU:4张RTX 4090 D显卡(或同等算力) * 内存:至少128GB系统内存 * 存储:至少100GB可用空间(模型文件约59GB)