OpenClaw火是火,但46.9万台设备已经在裸奔

2026年1月底，一个安全研究员开着Shodan扫了一遍18789端口。

他找到了数百个无认证的OpenClaw实例，直接进去，没有密码，没有任何阻拦。里面存着什么？Anthropic的API密钥、Telegram的登录Token，还有这些用户几个月来和AI的完整聊天记录。

这些人不知道自己的设备已经被人进去逛了一圈。

事情的起点，是OpenClaw太能干了。

这种"全能"，是它爆火的原因，也是它危险的根源——为了做到这一切，它需要你的密码、API密钥、浏览器Cookie，以及系统里几乎所有文件的访问权限，而且直接跑在操作系统层，不是在浏览器沙盒里。

一旦被攻破，攻击者拿到的不是某一个功能的权限，而是整台设备的控制权。

而它被攻破，已经不是假设了。

个漏洞，33个高危，3个现在就能被用来攻击你

截至2026年3月，OpenClaw已经披露了82个CVE漏洞，其中33个高危、47个中危。更要命的是，其中3个漏洞的利用代码已经在网上公开了，任何人拿来就能用，直接实现远程代码执行。

什么叫远程代码执行？就是攻击者坐在地球另一端，不需要碰你的设备，就能在你电脑上运行他想运行的任何东西。

其中一个典型漏洞是CNVD-2026-13289，旧版本的OpenClaw对WebSocket连接没做来源验证。攻击者只需要让你访问一个特定的恶意网页，就能偷走你的认证Token，然后直接接管你的OpenClaw，相当于拿到了你设备的遥控器。目前该漏洞已在新版本中修复，厂商新增了Origin校验机制，能有效拦截跨域的恶意请求。

还有多个命令注入漏洞，攻击者能以OpenClaw的进程权限，在你的电脑上执行任意命令。

厂商已经发了新版本修了40多个漏洞。但问题是——很多人没更新。

而没更新的那些设备，现在是什么状态？

万台设备，正在裸奔

SecurityScorecard基于全球范围的网络探针（含Shodan、Censys等数据源）统计显示：截至2026年3月11日，公网上能被探测到的OpenClaw暴露实例超过46.9万个，活跃的有20.3万个，其中27.2%存在高危漏洞。

这些设备暴露在公网的原因，很大程度上是OpenClaw旧版本的默认配置有问题：默认监听全网接口，默认关闭认证，WebSocket的来源校验也是关闭的。

用大白话说：你装完之后，什么都不配置，它就已经把自己挂在互联网上等人来了。而且安装过程里没有任何提示告诉你这件事。

这是被动暴露的情况。还有一种，是用户主动把风险装进来的。

你装的那个"实用插件"，可能是木马

OpenClaw的插件平台叫ClawHub，这是黑客现在最爱下手的地方。

官方自己的复盘数据显示，2026年2月24日到3月2日这一周，ClawHub里大约20%的插件是恶意的或者可疑的。第三方审计的数字更吓人：Koi Security在3月初审计的10700个插件里，发现了超过820个恶意插件；Snyk的检测显示，36.82%的插件存在安全缺陷。

黑客的做法是把恶意插件伪装成有用的东西，比如Solana钱包工具、YouTube视频总结器、金融分析工具，这些都是用户会主动去搜、主动去装的类型。用户一安装，就会被引导执行一段安装命令，木马就进来了。

更麻烦的是，这些恶意代码会延迟激活，代码也做了混淆处理，很难被杀毒软件发现。

上面说的，还只是个人用户的处境。如果是在公司内网，一台机器出问题，后果会扩散得快得多。

如果你在公司内网用，风险还要翻一倍

对企业用户来说，有一个数字格外刺眼：SecurityScorecard针对全球5000余家大中型企业的监控数据显示，22%的受监控企业里，发现了员工私自安装OpenClaw的情况，也就是所谓的"影子部署"。

这些安装没有经过企业的安全审核，也不在IT的管理视野里。一旦内网里某一台机器上的OpenClaw被攻破，黑客就能以它为跳板，横向渗透到更多系统。

更糟的是，OpenClaw有个mDNS广播功能，会自动在网络里广播自己的存在——这本来是为了方便局域网内发现设备，但换个角度，黑客可通过监听内网mDNS广播包，在1分钟内定位到所有OpenClaw实例，相当于拿到了内网"设备清单"。

不管是通过漏洞、暴露实例还是恶意插件拿到了你的机器，黑客下一步要做的事是一样的：把你存在里面的所有凭据拿走。

你的密码，就明文放在那里

还有一件事很多人不知道：OpenClaw把你的API密钥、密码、LLM Token这些敏感信息，以明文的形式保存在本地目录里，格式是Markdown或者JSON，不需要任何破解，直接打开就能读。

现在已经有专门针对OpenClaw的窃取木马了。Vidar木马出了新变种，专门以OpenClaw的配置文件为目标，找到就打包发走。RedLine、Lumma这些主流的信息窃取木马，也已经把OpenClaw的文件路径加进了默认采集列表。

黑客拿到你的设备之后，具体做什么

前面说的是风险在哪。这里说的是，一旦被攻破，接下来会发生什么——完整的链条。

如果是公网暴露的实例：

黑客用Shodan扫到你的18789端口，发现没有认证或者密码是弱密码，直接进控制面板。第一步，扫描本地目录，把所有明文存储的API密钥、Token、密码全部打包导出。第二步，翻聊天记录，看有没有更多凭据或者敏感信息。第三步，植入后门，让这台机器以后随时可以再进来，你不会发现任何异常。如果是企业机器，第四步是用SSRF漏洞探测内网拓扑，把这台机器变成进一步渗透的跳板。

如果你只在本地跑，从没暴露公网：

黑客不需要扫你的端口。他们发一封钓鱼邮件，或者在你可能访问的网站上投一个恶意广告，等你点开。页面里有一段JavaScript，利用WebSocket没有来源校验的漏洞，静默地偷走你的认证Token。拿到Token之后，直接接管你本地的OpenClaw，下发读取文件的指令，把你的凭据和聊天记录传出去。整个过程，你的屏幕上什么都不会显示。

如果入口是插件：

恶意插件进来之后不会立刻动作，它会先等上几天，等杀毒软件的行为监控窗口过去。然后针对你的身份精准收割：发现你有加密货币钱包，专门读钱包文件；发现你是开发者，扫Git配置拿代码仓库凭据；普通用户，聊天记录和登录信息是主要目标。收集完打包加密，通过一个看起来像正常网络请求的通道传出去。

如果你现在还在用，这几件事今天就做

个人用户，四件事：

升级到最新版本v2026.3.13，这是最基础的一步，能修掉大部分已公开的高危漏洞（包括CNVD-2026-13289这类核心漏洞）。
关掉公网监听。进设置，把网关监听地址从0.0.0.0改成127.0.0.1，只在本地运行，不要挂在公网上。
开启密码认证，设16位以上的强密码，不要用生日、名字这种东西。
插件只从ClawHub官方平台装，优先选下载量高、评价好的，安装时如果出现让你执行一段陌生命令的提示，直接关掉。

如果你在公司内网用，分两步走：

今天必须做的：

把所有关联的凭据轮换一遍——LLM的API密钥、消息应用的Token、邮件的OAuth授权，不管你觉得有没有泄露，先换了再说，因为明文存储意味着只要有人进过你的机器，凭据就可能已经被拿走了。
在防火墙层面封掉18789端口的公网入向流量，不要让内网的任何OpenClaw实例直接暴露在外网。
升级所有已知的实例到最新版本，同时强制开启认证和本地监听。

接下来要建立的机制：

用工具扫一遍内网，专门找有没有员工私自安装了OpenClaw但没报备的情况——这叫影子IT排查，很多企业安全工具自带这个功能。找到了，统一纳管或者要求卸载，因为这些未申报的实例是内网里最难被发现、最容易被当跳板的入口。

同时建立一个审批流程：以后任何人要装OpenClaw，需要经过IT审核，确认配置合规才能上线。

最后说一句

OpenClaw的问题，不是它做了什么坏事，而是它在功能跑得太快的时候，安全这件事没跟上。

高权限的工具，本来就需要更高的安全门槛。但很多用户装它，是因为同事推荐、因为好用、因为方便，没有人告诉他们这个东西在后台开了多大的口子。

现在告诉你了。

用不用是你的选择，但至少要知道自己在用什么。