夜雨聆风
近期,安全社区频繁出现关于OpenClaw的安全预警和分析报告。这个上线不足半年的开源项目,目前在GitHub上已经获得31.4万+Stars,关注度迅速攀升,也逐渐成为安全研究的热点对象。
与此同时,一些安全报告和社交媒体讨论中不断出现诸如“公网暴露超过20万实例”、“AI代理可能被攻击者利用”、“大量实例处于无防护状态”等话语。
这些信息在传播过程中不断被放大,使得OpenClaw的公网暴露情况显得异常严峻。
然而,根据南开大学密码与网络空间安全学院AOSP实验室的连续监测数据,实际情况与部分传播中的数字存在明显差异。核心结论如下:
·当前在线实例规模约5.9万(2026年3月14日观测结果)
·45天累计出现约12.4万独立IP
·98.77%的实例启用了认证机制
·完全无认证实例仅发现4个
OpenClaw的公网暴露规模确实在快速增长,但“20万裸奔”的说法并不准确。
事实上,在相关报告集中发布之前,我们已经开始了持续监测。自2026年1月29日起,南开大学密码与网络空间安全学院AOSP实验室基于自研互联网测绘平台XMap对OpenClaw默认端口进行每日扫描与指纹识别,并持续记录其暴露规模变化。经过45天的连续监测,我们积累了一套完整的互联网观测数据。
本文是OpenClaw全网安全态势评估系列的第一期,主要介绍OpenClaw公网暴露规模及变化趋势。
01 OpenClaw是什么?
OpenClaw是一个开源的个人AI助手系统。部署在本地计算机或服务器后,用户可以通过微信、QQ、钉钉、飞书等聊天应用与其交互,使AI帮助执行多种操作。与传统聊天机器人不同,OpenClaw具备更强的执行能力,例如执行系统命令、操作本地文件、控制浏览器任务。
因此,它本质上是一个具备较高系统权限的AI代理服务。在这种情况下,如果服务直接暴露在公网且配置不当,就可能被远程访问或滥用。
那么,第一个问题是:OpenClaw在公网到底暴露了多少实例?
02 到底暴露了多少
目前网络上常见的估算规模在十几万到二十多万之间。根据我们的连续监测数据:
·2026年3月14日:全网18789端口存活实例59604个
·2026年1月29日-3月14日:累计发现独立IP 124,883个
在监测开始时(1月29日),全网仅有3,763个存活实例。截至3月14日,实例规模增长超过14倍。
1.累计IP与实时实例被混淆
互联网资产具有明显的动态变化特征。某个时间段内出现过的IP,并不代表其始终在线。在我们的监测中:
·45天累计IP 124,883个
·3月14日实时存活59604个
两者相差接近一倍。部分统计直接将累计IP作为当前在线规模,导致数字明显放大。
2.默认端口不等于服务实例
18789是OpenClaw的默认端口,但并不是其独占端口。如果仅依据端口扫描结果进行统计而没有进行服务指纹识别,就可能将其他服务误计为OpenClaw,造成数量偏差。
3.统计口径差异
部分报告将反向代理端口(如443、80)的实例一并纳入统计。即使将这些端口全部纳入,去重后的规模通常也在约12万左右。此外,在部分统计方法中,同一IP在不同时间被重复统计,同一<IP:PORT>组合被多次计入,这些因素都会进一步放大最终数字。
03 暴露≠裸奔
明确规模之后,下一个问题是:这些暴露在公网的实例,是否都处于无防护状态?答案是否定的。
通过复现漏洞并编写PoC脚本,我们对全部存活实例进行了认证状态探测。结果显示:
·98.77%的实例启用了认证机制
·完全无认证实例:4个
从比例上看,绝大多数实例并未处于完全无防护状态。但这并不意味着可以忽视风险。
首先,这4个无认证实例一旦被发现,任何人都可以直接连接并操控其AI服务。其次,还有约5.0%的实例未能完成认证探测,其实际安全状态仍需进一步分析。值得注意的是,OpenClaw在默认配置下会自动生成192位Token作为认证凭证。
因此,大多数实例启用认证,很可能正是源于这一默认机制。但系统并未强制Token强度策略。用户可以手动配置极弱的Token(如"1"或"abc"),而目前的安全诊断工具也通常不会检测Token强度。“有认证”并不等同于“没有风险”。
04 真实风险确实存在
随着OpenClaw的快速流行,多家安全机构已经开始关注其安全问题。国际安全公司CrowdStrike、Censys等均发布了相关分析报告;国内厂商绿盟科技、360等也进行了跟踪研究。
同时,监管机构也已发布风险提示:
·工业和信息化部NVDB平台于2月5日发布安全预警
·国家互联网应急中心CNCERT于3月12日发布风险提示
1.版本老旧
OpenClaw早期版本无法通过探测直接获取版本号,仅3.5以后的版本可以通过openclaw/control-ui-config.json识别,因此我们构建了专属指纹库。指纹识别数据显示,约15%的实例仍运行旧版本。
OpenClaw在开发过程中经历过多次版本更新与项目名称变化,部分早期部署实例至今未进行升级。这意味着旧版本安全漏洞依然可以在这些实例上生效。
2.反向代理配置缺陷
部分用户通过Nginx/反向代理将OpenClaw服务映射到443或80端口。在个别配置不当的情况下,攻击者可能绕过前端认证机制直接访问后端接口。
针对目前讨论最多的反向代理配置缺陷,我们已经构建了验证PoC,并在实测中已确认4个实例存在这一问题。
其余漏洞PoC正在持续搜集或编写中,力图实现全风险评估。
3.地理分布集中
以2026年3月14日的数据为例,在监测到的75个国家或地区中,中国占比58.4%。不仅实例数量最多,增长速度也最为明显。
如需获取详细的云厂商、服务商、存在问题的实例数据请联系我们。
总体来看,OpenClaw的公网暴露规模快速增长,但实际数量低于部分传播中的夸张数字;同时,绝大多数实例并未处于完全无认证状态。
然而,这并不意味着风险可以忽视,比如:少量无认证实例、旧版本部署、反向代理配置问题等都可能成为潜在攻击入口。
05 结尾
如果你正在使用OpenClaw,建议尽快进行以下检查:
1.确认已启用认证机制:运行命令openclawconfiggetgateway.auth.mode
2.更新到最新版本:运行命令openclawupdate或WebUI界面直接更新
3.避免将18789默认端口直接暴露在公网:配置好服务器安全组和防火墙
如需获取详细技术细节或沟通交流,欢迎邮件联系南开大学密码与网络空间安全学院AOSP研究团队。
联系邮箱:
lixiang@nankai.edu.cn,李想,副教授
wufubin_tech@163.com,吴福彬,硕士生
sunlu25@mail.nankai.edu.cn,孙蕗,硕士生
供稿:李想
编辑:吴家昊
审核:刘哲理
