OpenClaw安全事件簿:那些踩过的坑和防范指南(系列八)

不到4个月，至少5起重大安全事件

OpenClaw从2025年11月创建到2026年3月，不到4个月的时间里，至少经历了5起重大安全事件。

创始人Peter Steinberger自己都承认：

"This is all vibe code. Prompt injection hasn't been solved. There are absolute risks."
这全是vibe code。Prompt injection没有被解决。存在绝对的风险。

"养虾"很有趣，但如果你不了解这些风险，你可能会付出真金白银的代价。

事件一：CVE-2026-25253——你的服务器门户大开

2026年2月初，安全研究人员发现了一个CVSS评分8.8/10的远程代码执行（RCE）漏洞。

项目	详情
CVE编号	CVE-2026-25253
类型	远程代码执行（RCE）
机制	WebSocket origin header绕过，攻击者可伪造origin连接暴露的Gateway
影响范围	所有暴露在公网且未配置认证的OpenClaw实例
状态	已修复（v2026.3.2）

这意味着什么？攻击者可以远程在你的服务器上执行任何命令——读取文件、安装恶意软件、窃取API Key。

安全研究人员通过互联网扫描发现：超过30,000个OpenClaw实例暴露在公网上且没有配置任何认证。Gateway端口（默认18789）对任何人开放。

如果你还在使用v2026.3.2之前的版本，立即升级。

事件二：ClawHavoc——技能市场沦陷

2026年1月底到2月初，一场精心策划的供应链攻击爆发。安全公司Koi Security将其命名为ClawHavoc。

攻击时间线：

日期	事件
1月27日	首个恶意Skill出现在ClawHub，伪装成专业工具
1月28-30日	攻击者快速大量上传恶意Skills，利用ClawHub缺乏审核机制
1月31日	攻击全面爆发，多个用户报告异常行为
2月1日	Koi Security正式命名"ClawHavoc"

规模有多大？

指标	数据
初始确认恶意Skills	341（约12%）
后续发现	800+（约20%）
受影响设备	135,000+

攻击手法极其狡猾：

上传专业外观的Skill（名字如"advanced-code-review"、"smart-scheduler"）
安装后建议用户安装"辅助Agent"以增强功能
实际植入AMOS（Atomic macOS Stealer）信息窃取木马
最致命的一手：直接篡改SOUL.md和MEMORY.md

篡改SOUL.md意味着你的Agent被"洗脑"——核心行为规则被改写。在之后所有交互中，Agent可能在你不知情的情况下执行恶意操作。

事件三：Anthropic封杀OAuth

2026年1月，Anthropic官方禁止Claude Pro/Max订阅账号通过OAuth连接OpenClaw。

很多用户收到账号警告甚至直接被锁定，部分用户的订阅被取消且无法恢复。

现在唯一合法的连接方式：Anthropic API Key（按量付费）。

如果你还在用OAuth方式连接Claude，请立即切换到API Key，否则可能面临封号风险。

事件四：谷歌封号风波

2026年2月初，谷歌大规模封禁OpenClaw用户的Google账号。

有用户在GitHub Issue #14203中留言：

"Spending $250/month on Gemini API, banned with zero warning."
每月在Gemini API上花$250，零警告被封。

封禁范围包括Gmail、Google Drive、Google Calendar——所有Google服务全部中断。

原因：部分用户的OpenClaw实例通过Gmail Skill大量调用Google API，触发了滥用检测。

防范建议：1. 使用专用Google Workspace账号，不要用个人主账号2. 控制API调用频率 3. 备份重要数据

事件五：$1,100的恐怖账单

社区中最频繁出现的"恐怖故事"：一觉醒来，API账单飙到四位数。

真实案例：用户设置了邮件处理定时任务，睡前一切正常。醒来发现API账单飙到$1,100。原因：Agent在处理邮件时进入循环推理，整夜不停调用API。

为什么OpenClaw的成本容易失控？

每次Agent思考涉及多轮推理：一个简单任务可能触发5-10次API调用
Skills描述注入system prompt，增加每次请求的输入token
记忆系统（MEMORY.md + Daily Logs）给每次请求附加上下文
Agent 24/7运行，定时任务持续触发API调用
多轮思考 + 多工具调用的token消耗可以是传统聊天的数十倍甚至上百倍

5个安全最佳实践

1. 永远不要暴露到公网

Gateway默认绑定localhost是有原因的。如果你需要远程访问，用Tailscale、Cloudflare Tunnel或VPN。不要直接把18789端口开到公网。

2. 设置Gateway认证

v2026.3.7已经强制要求设置gateway.auth.mode。没有认证的Gateway将拒绝启动。

gateway:  auth:    mode: token    # 或 password

3. 审查Skills源码

不要盲目安装ClawHub上的Skills。安装前查看GitHub仓库源码，警惕需要安装"辅助Agent"的Skill。使用SecureClaw扫描：

npm install -g secureclawsecureclaw scan ~/.openclaw/skills/

4. 设置每日预算上限

{  "agents": {    "defaults": {      "budget": {        "maxCostPerDay": 5.00      }    }  }}

即使不差钱，也要设上限。Agent进入推理循环时，没有限制就意味着无限烧钱。

5. 定期检查SOUL.md和MEMORY.md

如果发现你没写过的内容，立即回滚并审查所有已安装Skills。ClawHavoc攻击的核心手段就是篡改这两个文件。

成本控制速查

策略	效果
设置每日预算上限	防止单日失控
使用三级Fallback链	降低80-95%API成本
心跳任务用免费模型	GLM Flash / Gemini Flash
不要在活跃群开always模式	减少无效token消耗
控制Skills数量	减少system prompt长度

Fallback链示例：Claude Sonnet -> Claude Haiku -> DeepSeek-V3.2。大部分简单任务自动路由到最便宜的模型，月费从三位数压缩到两位数甚至个位数。

总结：养虾需谨慎

OpenClaw是一个强大的工具，但强大也意味着风险：

安全风险
：RCE漏洞、供应链攻击、账号封禁
成本风险
：多轮推理导致token消耗失控
隐私风险
：Agent能访问你的邮件、文件、消息

养虾很好玩，但请系好安全带。

互动时间

你遇到过哪些"养虾"翻车经历？

A. API账单超预期 B. 遇到过恶意Skill C. 被平台封号 D. 暂时还没翻车 E. 因为安全顾虑还没开始养

评论区分享你的经历，帮其他养虾人避坑！

关于本系列

这是"OpenClaw从入门到精通"系列的第8篇，也是核心系列的最后一篇。

关注【飘雪思考】公众号，不错过后续更新。

如果你跟着本系列走到了这里，你已经了解了OpenClaw的方方面面：从概念到架构，从部署到接入，从Skills到模型，从安全到成本。

去养一只属于你的龙虾吧。