夜雨聆风“AI超级后门”
2026年3月22日,一个消息登上微博热搜:OpenClaw创始人正式回应了360发现的漏洞问题。
被称为“龙虾之父”的Peter Steinberger发来回信,确认360安全云团队提交的零日漏洞真实存在,并对360提供的专业报告与修复方案表达了谢意。
这一漏洞在业内被冠以“AI超级后门”的称号。
它藏身于网关WebSocket模块之中,技术门槛极低——不需要账号密码,也无需复杂攻击手段,攻击者就能绕开所有权限认证,悄然获取网关控制权。
从暴露面来看,公网上约有13万台OpenClaw实例处于可访问状态,其中超过九成可能直接暴露在此漏洞的威胁之下。
当OpenClaw创始人表达谢意时,他确认的不仅是一个漏洞,更是整个AI原生应用时代一个令人不安的默认设置:为了“智能”与“连接”,我们是否必须默认为“危险”敞开大门?
这个被简化为“WebSocket无认证”的技术问题,本质是AI产品哲学与经典安全模型的一次剧烈对撞。
它暴露的,是一个比13万台暴露实例更严峻的现状。
从“漏洞”到“模式”:解剖AI产品的“原罪”
传统软件的安全模型建立在“最小权限”和“默认拒绝”之上。
但当前的AI应用,尤其是像OpenClaw这样的智能体平台,其核心价值恰恰在于“最大连接”和“默认响应”。
困境一:功能与安全的先天对立
智能体的魅力在于跨平台、全时候的感知与执行。
这意味着它的网关必须随时准备接受并响应来自各种复杂、未知环境的请求。
将网关“暴露”出来,往往不是疏忽,而是功能的必需。
关闭公网访问的临时方案,本质上是让产品退回到“单机模式”,等于暂时阉割了其核心价值。
困境二:谁该为“便捷”买单?
许多用户,甚至是企业用户,并不具备专业的安全配置能力。
产品提供“一键部署、全网可用”的极致便捷,就必然导致大量实例以最脆弱的状态裸奔。
这不仅仅是用户的教育问题,更是产品责任边界的设计问题。
为什么是现在?“AI超级后门”的必然性
此次漏洞的严重性并非偶然,它是多个趋势交汇的必然结果。
开发范式的速度压倒安全
大模型驱动的开发,追求的是“一句话创建一个智能体”的极致速度。
安全审计、渗透测试等传统慢周期,被狂奔的迭代速度远远甩在身后。
安全从“前置必选项”变成了“后期可选项”,甚至“无奈补救项”。
新协议,老问题
WebSocket等用于实现实时交互的现代协议,其安全最佳实践并未像古老的HTTP协议那样深入人心。
开发者在兴奋地调用新API实现炫酷功能时,很容易忽略其底层的认证鉴权环节。“能用”优先于“安全”。
攻击价值的指数级提升
控制一个智能体网关,获得的不仅是一个服务器,更是一个拥有API调用权限、知识库访问权限和持续行动能力的“AI代理”。
攻击收益从窃取数据,跃升为窃取一个具有自主行动能力的数字劳动力,这使其成为比传统漏洞更具诱惑力的高价值目标。
