OpenClaw漏洞复盘:你的AI 助手正在把密钥发给黑客

一位开发者在睡梦中收到了 AWS 的账单预警：一夜之间，他的账户产生了 800 美元的莫名消费。追查下去，源头竟是他本地那个“听话”的 AI 助手 OpenClaw。它把主人的 API 密钥，亲手交给了攻击者。

这不是科幻小说，而是安全机构 Oasis Security 披露的真实案例。更令人不安的是，这仅仅是 OpenClaw 安全危机的冰山一角。根据 Bitsight 的最新观测，全球约有 4.2 万个 OpenClaw 实例暴露在公网，其中 63% 存在已知漏洞。

OpenClaw（小龙虾）作为一款开源、自托管的 AI 智能体网关，因其强大的本地控制能力而备受开发者青睐。但“能力越大，风险越大”，在默认配置下，它极易从“得力助手”沦为“内鬼”。唯有通过物理隔离、权限最小化与认知约束三重防线，才能安全驾驭。

现场复盘：三起触目惊心的“翻车”实录

为了让你更直观地理解风险，我们复盘了三个最具代表性的真实案例。

案例一：账单激增——当密钥不再秘密

开头提到的那位开发者，遭遇的是最典型的凭证泄露。OpenClaw 默认会读取本地的配置文件以调用各种 API。一旦 Gateway 被攻破，攻击者就能像翻日记一样，轻松获取你的 GitHub Token、AWS Secret Key 等核心凭证。

后果不仅是金钱损失。代码库被删、生产环境被投毒、声誉受损……连锁反应往往比账单更致命。

案例二：ClawJacked——你的浏览器成了“帮凶”

这是本次事件中最具技术含量的攻击方式，被命名为 CVE-2026-25253。

攻击者诱导你访问一个恶意网页，网页内的 JavaScript 脚本会悄悄向你的 localhost:18789 发起 WebSocket 连接。由于 OpenClaw 默认信任本地连接并豁免了速率限制，攻击者可以在几分钟内暴力破解密码，静默注册为“受信任设备”，进而完全接管你的 AI 智能体。

Oasis Security 的报告指出：“对于集成了开发工具的典型用户，这等同于工作站完全失陷。”

案例三：ClawHub 技能泄密——供应链的隐形地雷

除了框架本身，第三方技能市场也是重灾区。安全机构 Snyk 发现，ClawHub 上有 7.1% 的技能存在漏洞。

例如，一个名为 moltyverse-email 的技能会明文泄露 API Key；另一个 buy-anything 技能甚至会在日志中记录用户的信用卡信息。当你安装这些技能时，就等于在自家后院埋下了地雷。

技术解剖：为什么默认配置如此危险？

OpenClaw 的安全困境，本质上是“好用”与“安全”博弈后的妥协——而开发者往往为此付出了代价。

1. 默认绑定 0.0.0.0：大门敞开

为了方便用户从任意设备访问，OpenClaw 默认将 Gateway 绑定在 0.0.0.0，这意味着任何能访问你 IP 的人都能尝试连接。配合默认端口 18789 和缺乏认证的默认设置，这无异于把家门钥匙插在锁孔上。

2. 本地信任滥用：被攻破的零信任

CVE-2026-25253 的根源在于 CWE-669（不正确的资源跨域转移）。浏览器充当了“多孔膜”，允许外部的恶意 JavaScript 桥接到本地服务，彻底打破了零信任架构。

Gateway 默认信任来自 localhost 的连接，本意是减少用户频繁认证的麻烦。但在跨站攻击面前，这份“信任”成了最致命的漏洞。

避坑指南：构建“防内鬼”安全防线

问题讲清楚了，解决方案必须可落地。我们整理了一份三步加固清单，请务必对照自查。

第一步：关好大门（网络隔离）

这是最关键的一步。

修改配置文件，将 gateway.bind 从 0.0.0.0 改为 127.0.0.1，禁止公网直连。如果你需要远程访问，请通过 SSH 隧道或 VPN 接入，不要直接暴露端口。

第二步：收紧权限（最小化原则）

不要给 AI 你不会给实习生权限。在配置中设置 tools.allowlist，仅允许必要的工具；同时配置 filesystem.deniedPaths，阻止 AI 访问 ~/.ssh、~/.aws 等敏感目录。

第三步：跑一次审计（自动化检查）

OpenClaw 提供了内置的安全审计工具。在终端运行：

openclaw security audit --fix

这条命令会自动检查并修复群组策略、日志脱敏和文件权限问题。一个典型的修复输出如下：

[FAIL] CRITICAL: Gateway is bound to 0.0.0.0 (Public Exposure)
[WARN] HIGH: Rate limiting is disabled on localhost
[PASS] MEDIUM: TLS is enabled on gateway

看到 [FAIL] 变成 [PASS]，你才能睡个安稳觉。

安全不是默认值，而是你的主动选择

OpenClaw 的安全状况被 Cisco Talos 评价为“绝对的噩梦”。但这并不意味着我们不能用它。

工具无罪，配置有责。 真正的风险，往往来自我们对“默认值”的盲目信任。在 AI 智能体能力日益强大的今天，安全不再是产品的默认属性，而是每一个开发者必须主动构建的能力。

如果你正在使用 OpenClaw，请立刻执行一次 security audit，并把这篇文章转发给你的团队成员。毕竟，谁也不想让自己的 AI 助手，成为出卖自己的“内鬼”。

你觉得呢？欢迎在评论区分享你的安全加固经验。