夜雨聆风
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为星标,否则可能就看不到啦!
快速摘要:OpenClaw("AI龙虾")正在以现象级速度席卷全球开发者圈,GitHub 星标已突破 26 万,但随之而来的安全事故也在密集爆发。已有用户因 VNC 无密码暴露导致信用卡被盗刷,恶意 npm 安装包已致上百人中招,ClawHub 技能商店中超过三成的 Skill 存在安全缺陷。工信部已于 2026 年 2 月正式发布安全预警。本文由 莫潇羽@源码七号站 结合官方文档、安全研究报告和真实案例,为你系统梳理 OpenClaw 的安全风险全景图,并给出可落地的防护方案。往下看,有更详细的拆解。
先搞清楚:OpenClaw 到底是什么?
在聊安全问题之前,有必要先帮还不了解的朋友理清背景。
OpenClaw 是一款开源的个人 AI 智能体(AI Agent)平台,最早由奥地利开发者 Peter Steinberger 于 2025 年底立项,最初叫 Clawdbot。因名称与 Anthropic 旗下的 Claude 过于相似,项目在 2026 年 1 月先后更名为 Moltbot 和 OpenClaw。它的官方图标是一只红色龙虾,因此国内开发者圈给它起了个接地气的昵称——"小龙虾"。
和我们平时用的 ChatGPT、DeepSeek 等对话式 AI 不同,OpenClaw 不只是回答你的问题,它的核心定位是"能干活的 AI"。你可以通过微信、飞书、Telegram、WhatsApp 等即时通讯工具给它下达指令,它会自主规划任务步骤,然后操控你的电脑完成一系列实际操作——比如自动清理邮件、整理文件、浏览网页填写表单、执行 Shell 命令、甚至帮你写代码并部署。
它的核心架构可以概括为几个关键组件:
- Gateway(网关)
:核心后台服务,负责连接消息渠道和调度智能体,默认监听 18789 端口 - Agent(智能体)
:实际执行任务的 AI 助手,可配置不同的人格和职责 - Skills(技能)
:能力扩展机制,通过 ClawHub 技能市场可以安装各种插件 - 工作区
:智能体的"办公桌",存储记忆、配置和文件
OpenClaw 本身不内置大语言模型,它采用模型无关架构,需要接入 Claude、GPT、DeepSeek、Kimi 等外部模型作为"大脑"——这意味着每一次任务执行都需要调用外部 API 并消耗 Token。
听起来很酷对吧?但正是因为它的权限太大——能读你的邮件、翻你的浏览器、控制你的鼠标键盘、执行系统命令——安全隐患也随之而来。网络安全研究人员甚至用"致命三角"来描述它的风险结构:访问私人数据、暴露于不可信内容、具备自主执行能力。
接下来莫潇羽(www.fuyuan7.com)就带大家逐一拆解这些风险点,以及对应的防护策略。
第一道坑:恶意安装包,从源头就有人设伏
假冒官网和仿冒安装命令
OpenClaw 火了之后,各种仿冒网站如雨后春笋般冒了出来。这些假网站的 UI 做得跟官网几乎一模一样,但你从上面下载安装的东西就完全没有保障了。
所以第一条铁律:一定要认准 OpenClaw 唯一的官方网站。
OpenClaw 的官方安装方式非常清晰,在 Linux/macOS 下通过以下命令安装:
curl -fsSL https://openclaw.ai/install.sh | bash或者通过 npm 全局安装:
npm install -g openclaw@latestWindows 用户在 PowerShell 中执行:
iwr -useb https://openclaw.ai/install.ps1 | iex这里莫潇羽@源码七号站特别提醒:域名差一个字,结果可能天差地别。
真实案例:恶意 npm 包植入远程木马
安全研究机构 JFrog 近期发现了一个恶意 npm 包,包名看起来非常"合理",但实际上是一个精心伪装的远程访问木马(RAT)。这类恶意包通常会在你执行 npm install 时悄悄触发 postinstall 钩子脚本,然后做以下这些事情:
窃取你系统上所有的环境变量(其中往往包含各种 API Key 和密钥) 读取 SSH 私钥和 Git 配置信息 收集浏览器保存的密码和 Cookie 将窃取到的数据通过加密通道回传给攻击者
这种供应链攻击方式在 npm 生态中并不罕见。早在 2018 年,知名的 event-stream 包就曾被注入恶意代码,影响了数百万开发者。而如今随着 OpenClaw 的爆红,类似的攻击正在以更精准的方式瞄准"龙虾"用户群体。
U 盘安装器:更离谱的骗局
除了线上的仿冒包,甚至有人在电商平台售卖所谓的"OpenClaw U 盘安装器",号称插上电脑就能自动帮你装好。莫潇羽(源码七号站站长)在这里要严肃地说一句:千万不要把来路不明的 U 盘插到你的电脑上。
要知道,U 盘历来就是电脑病毒传播的经典途径。BadUSB 攻击可以让一个看似普通的 U 盘在插入电脑的瞬间自动执行预设的恶意命令,你根本来不及反应。你以为买的是"安装器",实际可能是一整套木马、后门和远程控制程序。
第二道坑:VNC 裸奔 + 公网端口暴露 = 黑客自助餐
这是目前造成损失最严重的安全问题,也是导致信用卡被盗刷的直接原因。
问题的根源:0.0.0.0 vs 127.0.0.1
OpenClaw 的 CLI 和原生应用在默认配置下其实是安全的——Gateway 默认绑定 127.0.0.1(loopback),也就是只有本机能访问。但问题出在:大量用户把 OpenClaw 部署到云服务器上之后,为了能远程访问,第一件事就是把 gateway.bind 从 loopback 改成 lan 或者直接绑定 0.0.0.0。
如果你不理解这两者的区别,莫潇羽在这里用一个简单的比喻来解释:
127.0.0.1:相当于把门锁上了,只有你自己在家里能用 0.0.0.0:相当于把家门拆了,全世界路过的人都能进来坐坐
改完之后,18789 端口就对全世界敞开了。
你可以用以下命令检查自己的 OpenClaw 实例绑定情况:
# 检查 18789 端口的监听状态netstat -tlnp | grep 18789# 或者使用 ss 命令ss -tlnp | grep 18789如果输出中显示的是 0.0.0.0:18789 而不是 127.0.0.1:18789,那说明你的服务已经暴露到了公网。
真实案例:VNC 无密码暴露导致信用卡被盗刷
已有用户在部署 OpenClaw 时,x11vnc(远程桌面控制)配置为绑定 0.0.0.0 且加了 -nopw(无密码)参数。这意味着任何人都可以通过 VNC 直接看到并操控这台电脑的桌面。
后果就是:攻击者通过 VNC 远程操控浏览器,登录了用户的 Google 账号,找到了绑定的信用卡信息并进行了消费。有人的账号被用来尝试购买 Claude Max 订阅——连 AI 看到这个配置都直呼离谱。
暴露规模触目惊心
根据网络空间测绘平台 ZoomEye 的统计数据,截至 2026 年 3 月上旬,全球可识别的 OpenClaw 暴露实例数量已超过 7 万个。其中中国的部署规模位居全球前列,国内的云服务器上(包括阿里云、腾讯云、百度云等),大量实例的端口号清一色的 18789。
另外还有一个叫 OpenClaw Watchboard 的监控网站在实时追踪这些暴露的实例,不仅记录了暴露的 IP 和端口,还标记了其中存在凭证泄露和已知漏洞的实例。
防护措施
正确的做法是:永远不要直接将 OpenClaw 的 Gateway 端口暴露到公网。 如果你确实需要远程访问,应该这样做:
# Nginx 反向代理配置示例server { listen 443 ssl; server_name your-domain.com; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; location / { proxy_pass http://127.0.0.1:18789; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; # 启用 WebSocket 支持 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; # 基础认证 auth_basic "Restricted Access"; auth_basic_user_file /etc/nginx/.htpasswd; }}关键原则:
Gateway 始终绑定 127.0.0.1,不要改成0.0.0.0使用 Nginx 等反向代理,强制 HTTPS 配置 HTTP 基础认证或更强的认证机制 设置 IP 白名单,仅允许你自己的 IP 访问 使用 VPN 或 SSH 隧道进行远程管理
第三道坑:不要在私人电脑上裸跑 OpenClaw
OpenClaw 团队的版本迭代速度非常快。以近期为例,3.7 版本刚发布不久,团队就迅速推出了 3.8 稳定版,而其中竟然包含了 12 项以上的安全修复。
这说明什么?这款软件发布还不到一年,仍然存在不少需要修复的安全漏洞,其中不乏高危漏洞。上海科技大学与上海人工智能实验室的研究团队发布的安全审计论文显示,OpenClaw 的整体安全通过率只有 58.9%,特别是在"意图误解与不安全假设"维度,通过率竟然为零——也就是说,当用户指令模糊或信息不完整时,OpenClaw 倾向于自行脑补缺失信息并直接执行,而不是停下来向用户确认。
考虑到 OpenClaw 拥有的权限(读取文件、执行命令、操控浏览器),莫潇羽@源码七号站强烈建议:
- 不要在存有重要资料和账号信息的私人电脑上部署 OpenClaw
优先使用虚拟机或 Docker 容器进行隔离 如果有条件,可以准备一台专门的设备(如旧笔记本或 Mac Mini)来跑 使用 OpenClaw 自带的 Docker 沙盒模式,限制其文件系统和网络访问权限
# 使用 Docker 沙盒模式运行(推荐)openclaw gateway --sandbox docker# 定期运行安全审计openclaw security audit --deep第四道坑:陌生 Skills 是最隐蔽的雷区
Skills 的工作原理
Skills 是 OpenClaw 的能力扩展机制。简单来说,Tool(工具)提供了文件读取、网页访问、命令执行等基础能力,而 Skill(技能)则是一套"操作说明",告诉 AI 在什么场景下调用哪些工具、如何组合这些工具来完成复杂任务。
OpenClaw 的官方技能市场叫 ClawHub。截至目前,ClawHub 上已经有近两万个 Skill,每天还有大量新 Skill 不断涌入,官方的审核力量远远跟不上上传速度。
恶意 Skill 的攻击手法
根据 Snyk 的安全分析报告,ClawHub 上约 36% 的技能存在安全缺陷,其中超过 1400 个被检测到包含恶意载荷。恶意 Skill 的攻击手法通常有以下几种:
手法一:在 .md 文档中注入隐蔽指令
Skill 的核心配置通常是一个 Markdown 文件。攻击者会在文件的某个不起眼的位置嵌入一段经过 Base64 编码的恶意指令。当 AI 加载这个 Skill 时,就会按照指令执行预设的操作——比如悄悄上传你的 API Key。
手法二:在依赖项中埋后门
一些 Skill 会依赖第三方的 npm 包或 Python 库,而这些依赖项中可能已经被植入了恶意代码。你安装 Skill 的时候不会注意到依赖里多了什么,但恶意代码已经开始静默运行了。
手法三:通过 Prompt Injection 诱导 AI
Trend Micro 的研究人员已经证明:仅凭一封精心构造的邮件,就能通过 Prompt Injection(提示注入)诱导 OpenClaw 窃取 SSH 密钥和 API Token。如果某个恶意 Skill 的说明文档中包含了类似的诱导内容,AI 可能会在你完全不知情的情况下执行危险操作。
后果有多严重?
- 轻则
:你的电脑被安装挖矿脚本,CPU 和 GPU 被占用,电费飙升 - 重则
:你的大模型 API Key 被盗,攻击者用你的 Key 疯狂调用接口,Token 余额迅速耗尽
防护策略
只安装来自官方认证或知名开发者的 Skill 安装前先阅读 Skill 的源码(尤其是 .md 配置文件和 package.json) 不要让 OpenClaw 自己去网上搜索和安装 Skill 使用 openclaw skills audit命令检查已安装 Skill 的安全状况如果发现已安装了来源不明的 Skill,立即卸载并重置相关密钥
第五道坑:Token 消耗失控,API 账单可能让你傻眼
这不是安全攻击,但造成的经济损失同样不可忽视。
前面提到 OpenClaw 不内置模型,每次任务都要调用外部 API。而 OpenClaw 执行一个复杂任务时,可能会触发十几轮甚至更多的 LLM 调用,每一轮都携带完整的对话历史,Token 消耗像滚雪球一样越滚越大。
有媒体报道,个别用户的 OpenClaw 在 6 小时内就跑出了超过 1000 元的 API 账单。如果你配置了自动执行定时任务(比如每小时整理一次邮件),一天下来的消耗可能远超你的预期。
更危险的情况是:如果你的 API Key 被恶意 Skill 窃取,攻击者可以用你的 Key 无限制调用,直到余额耗尽。
防护措施
- 在 API 平台设置消耗上限
:几乎所有主流 AI 平台(OpenAI、Anthropic、阿里云百炼等)都支持设置月度消耗限额,务必第一时间配置 - 养成查看消耗记录的习惯
:定期登录 API 平台查看调用日志,关注异常消耗峰值(比如凌晨 3 点突然出现大量调用) - 发现异常立即响应
:一旦看到你没有发起的消耗记录,应立即暂停任务、撤销 API Key、检查系统安全
应急响应流程:发现异常消耗 → 暂停所有正在运行的任务 → 登录平台撤销/重置 API Key → 检查已安装的 Skills → 排查系统日志 → 确认安全后重新生成密钥那普通用户该怎么安全地用上 OpenClaw?
综合以上分析,莫潇羽@源码七号站给出两条路径建议:
路径一:有技术基础的用户,手动部署
如果你了解基本的命令行操作,知道 netstat 是什么,能分辨 127.0.0.1 和 0.0.0.0 的区别,那么完全可以自己动手安装。关键是要做到以下几点:
从官方渠道获取安装包(官方网站或 GitHub 仓库) 在独立的设备或虚拟环境中部署,不要用日常办公电脑 Gateway 绑定 localhost,不暴露公网端口 启用认证机制,定期更新版本 谨慎安装第三方 Skill
路径二:零基础用户,使用国内厂商的托管方案
如果你对技术部署完全不熟悉,那么更安全的选择是使用国内厂商提供的一站式方案。目前国内已有多家厂商推出了基于 OpenClaw 或类似架构的产品:
- 腾讯云
:提供 OpenClaw 极速部署服务,集成了企业级权限管理和安全审核 - 阿里云百炼
:支持 OpenClaw 接入,提供模型调用和配置管理 - 火山引擎 ArkClaw
:开箱即用的云上 SaaS 版 OpenClaw
这些方案由专业团队维护安全配置,省去了自己折腾服务器和防火墙的麻烦,对普通用户来说风险相对可控。
安全检查清单
在结束之前,莫潇羽@源码七号站为大家整理一份实用的安全自查清单,建议部署 OpenClaw 的读者逐项核对:
- ✅
从官方渠道(openclaw.ai 或 GitHub)下载安装 - ✅
Gateway 绑定 127.0.0.1 而非 0.0.0.0 - ✅
未向公网开放 18789 端口 - ✅
VNC 等远程桌面服务已设置密码并限制访问来源 - ✅
API Key 的配置文件权限设为 600(仅当前用户可读写) - ✅
在 API 平台设置了月度消耗上限 - ✅
只安装了来源可信的 Skills - ✅
已运行 openclaw security audit --deep进行安全审计 - ✅
OpenClaw 版本保持最新 - ✅
重要数据已备份,与 OpenClaw 运行环境物理隔离
写在最后
工信部在 2026 年 2 月就针对 OpenClaw 发布了正式的安全预警。微软安全团队也明确建议:如果要使用 OpenClaw,必须部署在完全隔离的环境中,使用专用的非特权凭证,仅访问非敏感数据,并且"假定入侵是可能的"。
OpenClaw 确实代表了 AI 从"聊天"向"执行"进化的一个重要里程碑。但越是强大的工具,越需要谨慎对待。就像一把锋利的刀,用好了是厨房神器,用不好就可能伤到自己。
莫潇羽在源码七号站(www.fuyuan7.com)持续跟踪 AI 工具的安全动态,如果你在使用 OpenClaw 的过程中遇到任何安全问题,欢迎来站内交流探讨。
龙虾虽好,安全第一。请务必在享受 AI 便利的同时,守护好自己的数字资产。
