乐于分享
好东西不私藏

OpenClaw再获国家级警报!14万人部署背后的安全困局

OpenClaw再获国家级警报!14万人部署背后的安全困局

14万人。这是截至2026年7月,国内OpenClaw的部署量。

而就在同一周,国家互联网应急中心和工信部先后发布风险提示,措辞从”关注”升级到了”警告”。

一个开源项目,被14万台设备安装运行,然后被国家级安全机构公开点名——不是表彰,是警告。

这不是”狼来了”的故事。这是狼已经在啃门锁,而大多数养虾人还在问:”我的龙虾今天干了什么活?”

今天把这件事掰开说——14万人的龙虾,到底在裸奔给谁看?闯了祸谁来赔?以及,你现在该怎么办?

01 从极客宠儿到国家级预警对象:45天发生了什么

今年2月底,OpenClaw还是GitHub上最耀眼的明星。36万Star,4个月登顶历史第一,超越Linux和React。极客圈封它”下一代AI助理的雏形”,媒体封它”AI从对话到行动的分水岭”。

然后画风突变。

3月8日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布安全预警,明确指出OpenClaw存在较高安全风险。两天后,国家互联网应急中心跟进发布风险提示,原话是—— “系统完全控制权可能被轻易获取” 。

这句话放在14万台设备上,不是提醒,是警报。

紧接着,多所高校发文要求防范OpenClaw安全风险。珠海科技学院直接要求立即彻底卸载,违规使用者将严肃处理。华中师范大学禁止在信息化办公室分配的服务器上安装,并要求排查公网暴露情况。安徽师范大学建议”非必要不部署使用”。

从全民追捧到高校封杀,只用了不到两个月。

这不是技术失误,这是能力膨胀与安全设计之间不可避免的脱节。

02 四大核心风险:你的龙虾可能在给黑客打工

国家互联网应急中心和工信部通报的四大风险,不是假设,是已经发生的现实。

风险一:提示词注入——你的龙虾可能正在”泄密”

攻击者在网页中埋藏隐藏恶意指令。当OpenClaw读取这个网页时,会被诱导泄露你系统的API密钥、文件内容、甚至对话记录。

上海交通大学团队在论文《Trojan’s Whisper》中证实:他们构建了26种恶意技能,覆盖凭据窃取、权限提升、后门安装等13类攻击。攻击成功率最高达64.2%,94%能绕过现有扫描器。

翻译成人话:你的AI助手读了一篇”文章”,然后悄悄把你家的钥匙递给了陌生人。

风险二:误操作——一句话删光公司数据库

这不是段子。Meta高管测试类OpenClaw智能体时,AI误判指令,2小时内清空全部邮件,导致大量敏感数据泄露,成为硅谷近期最严重的AI安全事故之一。

有用户把OpenClaw接入3000人行业交流群,没开启”仅@才响应”,结果智能体被持续套取信息——IP地址、真实姓名、公司名称、业务营收、电脑目录,2小时内全部泄露

风险三:插件投毒——你装的可能不是”效率工具”,是”后门”

ClawHub技能市场被检测出恶意插件占比超10%。2月9日-20日,攻击者把恶意技能包伪装成”加密钱包追踪器””Excel数据分析师”等热门工具,累计下载超50万次

你以为装了个帮手,其实装了个间谍。

风险四:凭证明文存储——最致命的结构性缺陷

OpenClaw把AI模型密钥、管理员密码、第三方服务授权,以不加密的普通文本直接存在配置文件里。

任何能读取文件的人,不需要”破解”,直接”复制粘贴”就能拿到你的全部权限。工信部预警明确要求:严禁凭证明文存储。

这就像一个保险箱,门锁挺结实,但钥匙就挂在锁上面。

03 法律追责真空:智能体闯祸,谁来买单?

比技术漏洞更让人脊背发凉的,是法律追责的真空地带

想象一个场景:

你公司员工在自己办公电脑上装了OpenClaw,用来自动化处理日常报表。某天,智能体误操作,删了公司核心数据库。企业损失数百万。

谁来负责?

员工说:”我装它是为了工作,没人告诉我它权限这么大。”

公司说:”你自己装的,又不是公司统一采购的。”

OpenClaw说:”我是开源工具,MIT协议,概不负责。”

这不是理论推演。这是当前法律框架下的真实困境

智能体不是法人,不是员工,不是产品——它是一个开源项目。  传统的产品责任法管不了开源代码,劳动法管不了AI的”自主决策”,合同法管不了你点”同意安装”时根本没看的那份README。

结果就是:风险是真实的,但买单的人,往往是那个随手点了”确认授权”的用户自己。

360首席科学家潘剑锋在ISC.AI 2026大会上说了一句很关键的话: “智能体时代的安全目标,要从’防御确定威胁’转向’管控不确定性’。”

不确定性来自两方面:外部攻击者隐藏真实意图,以及模型自身不可避免的幻觉在多轮推理中被放大。

翻译成人话:你永远没法保证AI不犯错,但你得保证它的错误不会直接酿成灾难。问题是——现在没有任何法律告诉你,犯了错该找谁。

04 用AI打AI:360的”图龙锋”和防守方的反击

好消息是,防守方没有坐以待毙。

6月ISC.AI 2026大会上,360集团拿出了两套反制系统:

“图龙锋”——用AI挖AI的漏洞

把安全大模型、攻防经验和智能体平台整合在一起,自动化发现系统和AI应用中的安全隐患。截至目前,已形成3432个真实漏洞战果,其中105个获监管单位确认

“仪天阵”——7×24小时无人值守防御

自动运营、分钟级风险研判、闭环防御——把过去需要大量安全专家手工完成的事,交给智能体自动完成。

简单说,360的思路是:用龙虾抓龙虾。  你的AI可能出问题?我的AI帮你盯着你的AI。

与此同时,企业级安全方案也在快速跟进:

  • 青藤WorkClaw
    全国首批通过信通院”智能体内生安全”最高等级5级认证,提供API Key集中托管、Skill上传即安全扫描、敏感数据自动脱敏
  • NVIDIA NemoClaw
    7月7日发布企业级安全包装器,一行命令安装,提供审计日志、权限控制
  • 微软电脑管家
    已上线OpenClaw一键卸载/停止功能

整个安全产业链,正在围绕”如何管好龙虾”快速形成。

05 安全与效率的死结:解不开,但可以系紧

说句实话:安全增强必然意味着效率妥协。

如果你让OpenClaw每执行一个高风险操作都弹窗确认,那”自主执行”就变成了”被审批卡住脖子的半自动”。用户嫌麻烦,主动绕过安全措施——安全防线还没建好,自己先被拆了。

这就是OpenClaw困局的核心矛盾:越自主越危险,越管控越没用。

但”解不开”不等于”不管”。以下几个动作,是当下最低限度的自保措施:

个人用户:

  • 立即升级至最新版本(至少v2026.2.25+),修复已知高危漏洞
  • 禁止公网访问,关闭不必要的端口(默认19890端口无认证!)
  • 不下载来源不明的技能包,优先使用官方推荐Skills
  • 检查配置文件中的凭据是否明文存储,手动加密或迁移至密钥管理工具
  • 如果不确定自己在干什么:微软电脑管家已支持一键卸载/停止

企业用户:

  • 禁止在核心生产设备上运行OpenClaw
  • 确需使用必须容器化隔离,开启操作日志与异常告警
  • 部署企业级管理平台(青藤WorkClaw、NVIDIA NemoClaw等)
  • 建立内部AI工具使用审批流程,杜绝”影子AI”(员工私自部署)

开发者:

  • 关注CVE公告和GitHub安全 advisories,第一时间修补
  • 对自建Skills进行代码审查,建立安全白名单
  • 实现最小权限原则,不给智能体超出任务需要的系统权限

06 写在最后

OpenClaw不是第一个爆火的开源AI项目,也不会是最后一个出安全问题的。

但它可能是第一个让”AI智能体安全”从技术话题变成国家级议题的项目。14万部署量、工信部点名、高校封杀、法律真空——这四个关键词叠在一起,意味着一件事:

AI智能体的”蛮荒时代”正式结束了。

接下来,是监管、是标准、是合规、是责任划分。是”养虾”需要”持证上岗”的时代。

在那套规则建立起来之前,送你一句话:

你的AI助手效率再高,它本质上还是一个拿着你家钥匙的陌生人。你可以请它帮忙干活,但别忘了锁好其他房间的门。