夜雨聆风28万台AI“肉鸡”待宰:你的OpenClaw正在“裸奔”吗?
想象一下,你花重金请来一位无所不能的AI管家,它不仅精通十八般武艺,还能帮你处理最私密的事务。但你却忘了给它家的门上锁,甚至把钥匙藏在了门口的地垫下。
这并非危言耸听,而是正在发生的现实。
近期,安全研究人员发现,全球有超过28万台OpenClaw实例,正以默认配置“裸奔”在互联网上。它们的18789管理端口直接暴露,如同一扇扇敞开的大门,邀请着不速之客。
这扇“门”背后,是彻底的沦陷。
攻击者无需任何高深技巧,就能接管你的AI管家,进而控制你的电脑。他们可以窃取你的API密钥、查看你的所有聊天记录,甚至以你的名义发送邮件、删除核心数据。更可怕的是,你的设备会瞬间沦为黑客的“肉鸡”,成为攻击他人的跳板。
这不仅仅是配置失误,更是对“便利”盲目追求的惨痛教训。OpenClaw的设计初衷是“本地控制”,却在默认设置上牺牲了最基本的安全底线,上演了一出现代版的“引狼入室”。
- 网友A:我请了个AI管家,结果它反手给我家装了个后门。
- 网友B:这就好比你买了个智能门锁,结果厂家默认密码是123456,还全网广播。
- 网友C:以前怕AI抢工作,现在怕AI把我工作电脑给格式化了。
如何给你的AI管家装上“防盗门”?
亡羊补牢,为时未晚。立即行动,构建你的纵深防御体系:
1. 立刻升级:第一时间将OpenClaw升级到最新版本,修补已知的高危漏洞。
2. 关上大门:严禁将18789端口暴露在公网。务必通过VPN、反向代理等方式进行访问。
3. 配把“好锁”:启用强令牌认证,并设置IP白名单,杜绝弱密码。
4. 隔离运行:使用Docker等容器技术部署,并遵循最小权限原则,切勿用root权限运行。
5. 审查“访客”:谨慎安装第三方插件,只从官方或可信渠道获取,防止“插件投毒”。
别让提升效率的AI利器,变成窃取你一切信息的“特洛伊木马”。安全,永远是技术便利不可逾越的底线。
