你的AI助手可能正在＂出卖＂你:OpenClaw安全危机警示录

大家好，我是三木。

上周，我的一个程序员朋友给我发来一条消息：”三木，你还在用OpenClaw吗？赶紧升级到最新版本！”

我当时还一脸懵逼——这玩意儿不是最近最火的AI助手吗？GitHub上30万颗星，号称”史上增长最快的开源项目”，怎么突然就”危险”了？

我花了一整天时间研究这件事，越看越后背发凉。

这不是危言耸听，这是真实发生的安全危机。

2026年3月，OpenClaw遭遇了前所未有的安全考验。奇安信XLab的监测数据显示，截至3月13日，全球已有232,958个OpenClaw实例直接暴露在互联网上，覆盖近15万个独立IP地址。

更可怕的是，其中约40%与已知的APT组织存在关联。朝鲜的APT37、Kimsuky，俄罗斯的APT28、Sandworm Team……这些国家级攻击者正在积极利用这些暴露的节点。

每一台被攻陷的主机，都可能成为他们深入企业内网的跳板。

工信部也发布了安全预警。国家网安通报中心的数据显示，超过2.3万个境内资产已经暴露，公网暴露比例高达85%。

什么概念？每10台部署OpenClaw的设备里，有8台半直接暴露在互联网上，没有任何防火墙、身份验证阻拦。

黑客只要通过网络空间测绘工具，就能轻松定位这些设备，连破解的功夫都省了。

这就好比你家里装了智能门锁，却默认不上锁，还把家门地址贴在了大街上。

问题到底出在哪里？

首先是架构设计缺陷。OpenClaw采用多层架构，但层层皆有漏洞。IM集成网关层可被伪造消息绕过身份认证，智能体层多轮对话可修改AI行为模式，执行层与操作系统直接交互……一旦被攻破，系统就被完全控制。

其次是”ClawJacked”漏洞。攻击者可以通过WebSocket绕过防火墙，直接访问你的OpenClaw实例。远程访问不需要任何账号密码认证，API密钥、聊天记录等敏感信息全都是明文存储。

第三是插件生态”投毒”。安全团队分析了ClawHub平台3016个技能插件，发现336个插件含恶意代码，占比超过10%。这些恶意插件可以窃取密钥、植入后门、远程控制设备。

最让人细思极恐的是——智能体行为失控。

通报里有一句话让我印象深刻：”OpenClaw智能体在执行指令过程中易发生权限失控，导致越权执行任务并无视用户指令，可能出现删除用户数据、盗取用户信息、接管用户终端设备等情况。”

你的AI助手，可能真的会”叛变”。

有用户发现自己的信用卡被盗刷，有CEO的”数字人生”被暗网标价2.5万美元出售……这不是科幻电影的情节，这是真实发生的事情。

那我们该怎么办？

好消息是，OpenClaw官方已经在3月11日发布新版本修复了主要漏洞。如果你还在用旧版本，请立即升级。

除此之外，我还整理了几条防护建议：

第一，不要把OpenClaw暴露在公网。如果必须远程访问，请配置防火墙规则，限制访问IP，并启用身份验证。

第二，只安装可信来源的技能插件。奇安信推出了SAFESKILL平台(safeskill.qianxin.com)，可以帮你识别恶意插件。

第三，定期检查API密钥和敏感数据。如果你的密钥已经泄露，立即撤销并重新生成。

第四，企业用户要格外警惕。员工为了追求效率私自安装的”影子AI”，可能让企业防火墙形同虚设。建议制定明确的AI工具使用规范。

360创始人周鸿祎在评论这件事时说了一句话：“不能因噎废食。”

我深以为然。

AI智能体是工具，不是洪水猛兽。但任何强大的工具，都需要与之匹配的安全意识。

就像我们不会因为车祸就不再开车，但我们会系安全带、遵守交通规则、定期保养车辆。

OpenClaw的出现，标志着AI从”对话”走向”执行”的关键里程碑。这是好事。

但在享受效率提升的同时，我们也要学会给自己的”数字员工”上把锁。

越智能的助理，越需要警惕它的”背叛”。

如果你也在用OpenClaw，现在就去检查一下你的配置吧。

别让你的AI助手，变成别人眼里的”数字内鬼”。

——END——

我是三木，关注AI技术与安全。如果这篇文章对你有帮助，欢迎点赞、转发、关注。