三周超越Linux三十年:病毒式传播埋下安全祸根
2026年初,一个名为OpenClaw的开源AI智能体项目以史无前例的速度席卷了整个技术社区。它的核心卖点极具吸引力——"本地部署、全自动办公"。用户只需在本地运行OpenClaw,它就能自动操作浏览器、读写文件、处理邮件、管理日程,仿佛一个真正的AI办公助手。
数据说明了它的火爆程度:三周内下载量超过了Linux操作系统三十年的积累。OpenClaw的GitHub仓库星标数以十万计,技术论坛和社交媒体上到处是部署教程和使用分享。
然而,正是这种病毒式的传播速度,为后来的安全危机埋下了祸根。
OpenClaw的默认配置存在一个致命缺陷:没有任何认证机制,且默认监听19890端口。这意味着任何人在公网中扫描到19890端口,就可以无需任何密码直接访问和控制该OpenClaw实例。对于一个被设计为"全自动办公"、拥有文件系统和网络访问权限的AI智能体来说,这种默认配置无异于将自家钥匙挂在门外。
多米诺骨牌:一个月内漏洞连爆
2026年2月9日,安全公司SecurityScorecard发布统计数据,显示公网上已暴露的OpenClaw实例超过13.5万,其中9.5%存在高危漏洞。这一数字引起了安全社区的广泛关注,也拉开了OpenClaw安全危机的序幕。
2月14日,OpenClaw厂商发布了CVE-2026-27001的安全补丁(版本v2026.2.13),修复了日志投毒(Log Poisoning)和提示词注入(Prompt Injection)两个严重漏洞。前者允许攻击者通过构造恶意日志内容控制AI的后续行为,后者则可通过精心设计的输入劫持AI智能体的执行逻辑,使其执行攻击者预设的恶意操作。
仅仅四天后,2月18日,Endor Labs的研究人员披露了6个新的CVE漏洞,涵盖服务端请求伪造(SSRF)、认证绕过、路径穿越等多种类型。这些漏洞的组合意味着攻击者不仅可以绕过认证访问系统,还能通过SSRF以内网身份访问其他服务,通过路径穿越读写系统任意文件。
漏洞的密集程度表明,OpenClaw在快速迭代和功能扩展的过程中,安全审计严重滞后于功能开发。每一个被披露的漏洞都在原有暴露面上撕开了新的裂口。
ClawHavoc与ClawJacked:从漏洞利用到生态污染
如果说单个漏洞的修复只是技术问题的解决,那么接下来出现的攻击模式则将OpenClaw的危机从"漏洞风险"升级为"生态威胁"。
2月23日,Trend Micro发布了ClawHavoc分析报告。报告揭示了一个针对OpenClaw技能生态的供应链攻击:研究人员在OpenClaw的技能市场中发现了39个恶意技能插件,这些插件表面提供实用功能,实际暗中执行恶意操作。更令人担忧的是,报告同时发现了AMOS(Atomic macOS Stealer)变种信息窃取木马通过OpenClaw进行传播。AMOS是一款专门针对macOS系统的商业间谍软件,能够窃取浏览器密码、加密货币钱包、键盘记录和屏幕截图。
五天后,2月26日,Oasis Security披露了ClawJacked漏洞。这是一个组合型攻击链,利用跨站WebSocket劫持(CSWSH)和localhost旁路技术,攻击者可以通过恶意网页远程控制受害者的OpenClaw实例。由于OpenClaw在localhost上运行且无认证,同一网络内的任何恶意网页都可以直接与OpenClaw建立WebSocket连接,进而执行任意操作。厂商在24小时内完成了修复,但这进一步证明了OpenClaw在安全架构设计层面的根本性缺陷。
46万暴露实例与监管介入
截至2026年3月11日,OpenClaw的安全态势非但没有好转,反而持续恶化:
- 公网暴露实例累计超过46.9万
- 其中活跃实例20.3万
- 27.2%的存在高危漏洞
这意味着数十万台运行OpenClaw的设备处于可被任意访问的状态,其中超过五分之一存在已知高危漏洞,随时可能被利用。
3月8日,中国工信部正式发布安全预警,提示OpenClaw默认配置存在严重安全风险,要求各单位立即排查和整改。随后,多家云厂商紧急下架了OpenClaw的一键部署服务,从源头上遏制了新的暴露实例增长。
AI智能体时代的安全治理命题
OpenClaw事件不仅仅是一个产品的安全危机,它是整个AI智能体时代面临的安全治理命题的缩影。
AI智能体与传统软件有着本质区别:它们需要广泛的系统权限才能执行任务(文件访问、网络请求、命令执行),它们的行为逻辑具有不确定性(LLM驱动),它们的生态是开放的(技能插件市场)。这些特性意味着,AI智能体的安全攻击面远大于传统软件,一旦被攻破,影响也远大于传统漏洞。
OpenClaw用三周走完了Linux三十年才走完的用户规模之路,但安全治理体系的建设无法像下载量一样指数增长。从默认无认证到漏洞连爆,从恶意技能到木马传播,从46万暴露实例到监管介入——这条时间线清晰地展示了"快速迭代、安全后补"模式在AI智能体时代的灾难性后果。
对于整个行业而言,OpenClaw应该成为一个标志性的案例:AI智能体的安全不能依赖用户的主动配置,认证和安全基线必须内建于产品本身。在AI被赋予越来越多系统权限的时代,一个不安全的AI智能体不仅是个人隐私的威胁,更可能成为攻击整个网络基础设施的跳板。
参考来源:SecurityScorecard、Trend Micro、Endor Labs、Oasis Security、工信部安全预警