夜雨聆风导读
GitHub史上增长最快的开源项目OpenClaw正在遭遇一场安全噩梦:82个漏洞、27万台电脑公网"裸奔"、每5个插件就有1个可能是恶意的。但真正的问题不是漏洞本身——而是AI一旦学会"动手",我们熟悉的安全规则就全部失效了。
两周前,深圳一个程序员在自己的Mac上装了OpenClaw。
第一天,他让"龙虾"帮他自动回复邮件、整理文件夹,觉得未来已来。第二天,他配好了API密钥,让它连上了Claude和GPT,干活效率翻倍。第三天凌晨三点,他被一条短信吵醒——他的云账户产生了一笔1.2万元的Token消费。
API密钥被盗了。而他甚至不知道是从哪个环节泄露的。
这不是个例。过去一个月,围绕OpenClaw的安全事件密集到让人喘不过气:82个CVE漏洞被集中披露,全球超过27万个实例在公网上"裸奔",官方技能商店ClawHub里每5个插件就有1个是恶意的或可疑的,工信部3月8日紧急发布安全预警,谷歌、Anthropic、Meta先后在内部封禁OpenClaw。
这些新闻你可能都刷到过。但大多数报道只是告诉你"又出漏洞了",没人回答一个更根本的问题:为什么一个开源项目能在两个月内积累这么多安全灾难?
答案不是"代码写得烂"。答案是——AI一旦从"会说话"变成"会动手",我们过去几十年建立的整套安全思维就不够用了。
一只能动手的龙虾,和一把交出去的钥匙
先搞清楚OpenClaw到底是什么。
你用ChatGPT、DeepSeek、豆包这些工具,本质上是在"聊天"——你问它答,它给你一段文字,然后你自己去执行。AI只负责想,你负责做。
OpenClaw不一样。它能自己动手。 它可以读写你电脑上的文件,执行终端命令,控制浏览器,收发你的微信和邮件,甚至在你开会的时候替你跟汽车经销商砍价(真事,有用户靠它砍掉了4000美元)。
这意味着什么?你不是在跟AI"聊天",你是在给AI发了一把你电脑的钥匙。
传统的聊天AI,安全模型很简单:AI说的话有没有问题?有没有泄露敏感信息?会不会教你做坏事?——这些都是"嘴巴"层面的安全问题。
但当AI拿到了"手",安全问题瞬间从一维变成了三维。
它不仅可能"说错话",还可能"做错事"——删掉你的文件、发出你不想发的邮件、把你的密钥传给远方的服务器。更要命的是,它做这些事的时候不需要你的同意,因为你已经授权它"自主执行"了。
三层噩梦:OpenClaw的安全问题到底出在哪
OpenClaw的安全危机不是一个问题,是三层噩梦叠在一起。
第一层:供应链投毒——你以为自己装的是龙虾,其实装的是木马。
2026年3月,JFrog安全团队披露了一起精心设计的供应链攻击。攻击者在NPM仓库上传了一个叫@openclaw-ai/openclawai的恶意包,名字跟官方组件几乎一模一样。你安装它的时候,屏幕上会出现一个带动画进度条的假安装界面,看起来完全正规。安装完成后,它弹出一个伪造的iCloud Keychain授权框,骗你输入系统密码——与此同时,恶意代码已经在后台跟攻击者的服务器悄悄通信了。
ClawHub的情况更触目惊心。这个OpenClaw的官方技能商店,在三周内从2800个技能暴增到超过10700个——增速快到安全审计根本跟不上。OpenClaw官方复盘数据显示,2月底到3月初那一周,平台上大约20%的插件是恶意或可疑的。 发布一个插件的门槛有多低?你只需要一个创建超过一周的GitHub账户,不需要身份验证,不需要代码审计。
第二层:公网裸奔——你以为它在你电脑上跑,其实全世界都能看到。
这一层的问题出在一个技术细节上:OpenClaw默认绑定的网络地址是0.0.0.0,意思是监听所有网络接口。如果你的电脑连着公网(大多数人都是),你的OpenClaw实例就自动暴露在了互联网上。
截至2026年3月10日,全球有超过27万个OpenClaw实例暴露在公网。安全研究员通过Shodan搜索引擎,不费吹灰之力就找到了数百个无认证的实例,里面躺着用户的API密钥、Telegram Bot Token、Slack凭据,还有几个月的完整聊天记录。
更令人不安的是,这些暴露的节点中约40%已经被已知的APT组织盯上了——包括朝鲜的APT37、俄罗斯的APT28和Sandworm。每一台被攻陷的机器,都可能成为他们渗透企业内网的跳板。
第三层:信任边界模糊——AI自己也分不清谁是好人。
这是最深层、也最难解决的问题。
传统软件的安全逻辑是"权限隔离":不同用户有不同权限,不同程序在不同的沙箱里运行。但OpenClaw的设计哲学恰恰是打破隔离——它的价值就在于它能访问你的一切、操作你的一切。
问题来了:当你让OpenClaw帮你总结一个网页内容时,网页里可能藏着一段恶意指令(间接提示注入)。AI看不出来这是攻击,它只是"听话"地执行了——然后你的敏感数据就通过一个精心构造的URL被传了出去,整个过程不需要你点击任何链接。
安全研究公司PromptArmor已经证明,在Telegram等支持链接预览的消息应用中,攻击者可以让OpenClaw自动生成一个包含你隐私数据的URL,消息应用在渲染预览时就自动把数据发送了出去。你甚至不需要点链接。
这不是某个特定漏洞的问题。这是AI Agent架构层面的根本矛盾:你想让它有权限"做事",就必须给它足够的系统访问权;但给了访问权,就没法阻止它在被欺骗时做出危险操作。权限和安全,在AI Agent的世界里是一对结构性矛盾。
不是Bug,是范式冲突
说到这里,问题的本质已经清楚了。
OpenClaw的82个漏洞当然需要修,27万台裸奔的实例当然需要加固。但即使修完所有已知漏洞,AI Agent的安全困境也不会消失。 因为这不是代码质量问题,而是一种全新的计算范式与旧安全模型之间的根本冲突。
过去几十年,计算机安全的核心假设是:程序是确定性的。 你给它一个输入,它产生一个可预测的输出。基于这个假设,我们才能做代码审计、做静态分析、定义"正常行为"和"异常行为"。
但AI Agent不是确定性的。同一个指令,接入不同的模型、在不同的上下文里,可能产生完全不同的行为。你没法用传统方式"审计"一个AI Agent的行为,因为它的行为在运行之前是不可知的。
这就像你雇了一个非常能干但完全透明的助手——他能帮你干所有活,但任何人只要跟他说话,他都可能听从。你唯一的安全保障是"他的判断力"。
而我们都知道,AI的判断力,没那么靠谱。
那怎么办?
工信部给了四条建议:关闭公网暴露、容器隔离运行、禁止凭据明文存储、只从可信渠道下载插件。这些都对,也都是底线。
但更重要的是心态上的调整。22%的企业已经发现员工在私自安装OpenClaw,这些"影子部署"绕过了所有安全管控。堵是堵不住的,因为效率诱惑太大了。
真正的解法不是禁止AI Agent,而是重新设计安全架构——从"把门锁好别让坏人进来"转向"假设坏人已经进来了,怎么让损害最小化"。安全行业管这叫"零信任架构",但AI Agent的零信任,比传统IT的零信任复杂一个数量级。
OpenClaw团队也在拼命修补。从1月5日到3月5日的60天里,它的14254个commit中,平均每天有2.45个是安全修复。这个响应速度在开源世界里已经很快了。但漏洞发现的速度更快——因为攻击面太大了。
这场安全危机不会很快结束。它更像是AI Agent时代的"成长痛"——不是哪个项目的问题,而是整个行业必须面对的新课题。 聊天AI时代的安全经验,在Agent时代几乎要从头来过。
那些急着上车的人或许该停下来想一想:你交出去的那把钥匙,值多少钱?
