OpenClaw 暴露面分析:当火爆的 AI 代理框架成为攻击者的'肥肉'
从 25 万公开实例看 AI 服务的安全底线
1. 引言
近期,一个名为 OpenClaw 的开源 AI 代理框架在 GitHub 上迅速崛起,星标增长速度一度超越 React,成为开发者圈内炙手可热的项目。它让用户能够快速搭建高度可定制的私人 AI 助手,支持微信、企业微信、腾讯云、百度等中国生态服务,也兼容主流国际平台。
然而,火爆的背后隐藏着巨大的安全危机:大量用户直接将 OpenClaw 实例部署在公网,未启用任何认证措施,导致这些'AI 代理'成为公开可访问的端点。更可怕的是,一个名为 OpenClaw Watchboard 的监控网站正在实时追踪这些暴露的实例,数量高达 25.8 万,并标记了其中存在凭证泄露、已知漏洞、甚至与 APT 团伙关联的实例。
作为一名既热爱 AI 技术又从事网络安全工作的工程师,我第一时间分析了这份暴露面数据。本文将深入解读 OpenClaw 的架构、暴露风险、Watchboard 的威胁情报,并为部署者提供切实可行的加固方案。
2. OpenClaw 是什么?
OpenClaw(原 Clawdbot)是一个用 TypeScript 开发的开源 AI 代理框架。它的核心能力包括:
- 多平台集成:深度适配微信、企业微信、钉钉、飞书、Slack、Discord 等。
- 多代理协作:支持多个 AI 代理分工协作完成任务。
- 任务自动化:可调用外部工具(搜索引擎、API、数据库)执行复杂工作流。
- 中国生态友好:内置对腾讯云、百度 AI、阿里云等服务的调用支持。
正是这种'即插即用'的便捷性,使得许多开发者和企业快速部署了 OpenClaw,却忽略了最基本的安全配置——访问控制。
3. 暴露风险:为什么 25 万实例'裸奔'?
从 Watchboard 的数据看,大部分暴露的实例直接使用 IP 地址或未加保护的域名,默认不启用认证。攻击者一旦发现这些端点,可以:
- 直接调用 AI 代理功能:窃取对话历史、滥用代理调用内部系统。
- 利用凭证泄露:Watchboard 中标记了部分实例'has_leaked_creds',意味着环境变量或配置文件中包含云服务密钥、数据库密码等敏感信息。
- 植入恶意指令:通过未授权接口让 AI 代理执行危险操作,如发送钓鱼邮件、删除数据。
- 作为跳板进入内网:如果实例部署在企业内部网络并暴露,攻击者可借此横向移动。
更令人担忧的是,Watchboard 关联了威胁情报,显示某些实例与 APT15、APT17、APT28 等已知威胁行为者有关。这可能意味着攻击者已经在利用这些暴露的实例进行攻击活动。
4. OpenClaw Watchboard 深度解析
Watchboard 网站本质上是一个公共威胁情报仪表盘,实时监控全球所有公开可达的 OpenClaw 实例。主要功能包括:
- 实时列表:分页展示 258,305 个实例(数据截至 2026 年 5 月 3 日),每页 100 条,共 2584 页。
- 关键字段:
- Endpoint:实例地址(IP:端口或域名)
- Assistant Name:助手名称(可能泄露用途)
- Country:国家/地区(使用旗帜标识)
- auth_required:是否要求认证(大量为 false)
- has_leaked_creds:是否发现泄露的凭证
- ASN / 组织 / 云服务商:如腾讯云、阿里云、AWS、SberCloud 等
- first_seen / last_seen:首次和最后发现时间
- 威胁情报:关联的 APT 组织、CVE 漏洞列表
4.1 地理与云服务分布
根据示例数据,暴露实例主要集中在中国大陆、香港、俄罗斯、美国、新加坡等地。云服务商方面, 占据前列。这反映出 OpenClaw 在中国开发者中的流行程度,也意味着国内云用户需要特别关注自身资产。
