OpenClaw大规模安全危机:13.5万实例裸奔、6个CVE,普通人现在还能不能用?

这意味着什么，我后面会说。

先把事情讲清楚。

它为什么爆了，以及爆得有多大

OpenClaw这个工具，做了一件以前没有AI做过的事——它让一个语言模型直接操控你的电脑，去操作文件、操作应用、操作各种账号。

为了做到这一点，它需要极高的权限，基本上就是你本人能做什么，它就能做什么。

这样设计当然厉害。

之前大家还在聊”AI能帮你写文章”，它已经进化到”AI能帮你运营整个数字人生”。

但高权限也意味着高风险。

这次爆出来的漏洞，最严重的一个可以让任何人——注意是任何人——只要你曾经获得过OpenClaw的配对权限（这个权限低到什么程度呢？

低到随便一个网页都能申请），就能把自己的设备权限升级成管理员。

一旦升级成功，攻击者理论上可以访问这个OpenClaw实例能访问的一切：你的文件、你的聊天记录、存在里面的各种API密钥、你的云存储、甚至能以你的身份去操作Telegram、Discord、飞书这些平台。

安全研究人员测了一下，全球有13.5万个OpenClaw实例直接暴露在公网上，其中63%甚至没有开认证——也就是说，攻击者连最低门槛都不需要，直接长驱直入。

这个数字是有点吓人的。

哪些人踩了坑，踩了什么坑

你可能在想，我又不写代码，OpenClaw跟我有什么关系？

但问题是，踩坑的人不一定是用OpenClaw的人。

举几个例子你就明白了。

有人在ClawHub（OpenClaw的Skill市场）上下载了一个看起来很正经的Skill，安装之后发现自己的OpenClaw配置被悄悄篡改了，API密钥全部被外传——后来发现那个Skill里藏了一个infostealer（信息窃取木马）。

这不是小众事件，安全公司查了一下，ClawHub上超过40%的热门Skill都存在各种安全漏洞。

还有些公司，IT管理员给员工装了OpenClaw，希望提升工作效率。结果呢？Meta的一个高管直接下了内部通牒——谁敢在工作电脑上装OpenClaw，直接开除。

他不是耸人听闻，他的逻辑很简单：一个语言模型天然不可靠，你给它开放这么多权限，它一个 Prompt注入攻击就能把事情搞砸，搞砸的方式可能是你完全预料不到的。

这个逻辑我其实挺同意的。

不是对OpenClaw有意见，是对这个”高权限+不可靠AI”的组合有意见。

你说有没有人真的中招了？

肯定有。

只是中招的人大概率不知道自己中招了——因为这次曝出来的漏洞，允许攻击者在完全静默的情况下完成权限提升，不会触发任何告警，用户从外观看一切正常。

安全公司Endor Labs扫出来的数据是：135000个暴露的实例里，有大量可能已经被攻陷，但当事人毫不知情。

这就是最让人心里没底的地方。

现在还能不能用？

说实话，这是所有正在用或者想用OpenClaw的人最关心的一个问题。

我的判断是这样——

如果你只是个人用户，拿OpenClaw来管自己的文件、自动化一些个人操作，现在最新的版本已经修掉了这几个漏洞，理论上安全风险已经收敛了。

但你需要做几件事：

第一，立刻更新到最新版。这是一个非常低成本的保命操作。

第二，检查你的OpenClaw实例有没有开公网访问。如果开了，考虑限制一下范围，或者至少加上认证。

第三，想想你给OpenClaw授权过哪些平台。如果里面有你的OpenAI API密钥、各种第三方账号的token——把那些用过一次之后就不再需要的密钥换一遍。

能做到这三点，基本可以把这次漏洞的影响隔离掉。

但如果你是在公司环境里用OpenClaw，连接了公司内部的各类系统和数据——我建议你认真跟安全团队聊聊。

不是危言耸听，是这次的事情说明了一件事：AI Agent的安全水位，从行业整体来看，远没有产品成熟度走得那么远。

效率重要，但数据泄露了更麻烦。

比修漏洞更重要的事

说到这里，我想聊一点更大的。

OpenClaw安全危机，本质上不是某一个产品的个体悲剧。

它是整个AI Agent行业的一声警钟。

我们正在进入一个AI Agent爆发的时代。

各种工具都在争相给AI开放更高的权限，让它替你操作这个、操作那个。

但安全防御这件事，在行业疯狂追求”功能更强、场景更广”的浪潮里，被有意无意地往后放了。

你我这样的普通用户，能做的就是不要无限制地给AI堆权限。

给它能完成任务的最小权限，而不是”反正都开了方便”的权限。

这是 AI Agent时代的基本安全观。

就像你不会把家里所有钥匙都交给一个刚认识一天的陌生人，AI也不值得。