OpenClaw 爆雷:50 万实例“裸奔”,CEO 助理竟在暗网被公开售卖!

OpenClaw AI 智能体框架因缺乏企业级安全控制，50 万个实例暴露在互联网，沦为黑客窃取敏感数据的“后门”。

“你的 AI？现在是我的 AI 了。”

在 RSAC 2026 的一场专访中，Cato Networks 威胁情报副总裁 Etay Maor 掷地有声地说道。这句话并非危言耸听，一位英国 CEO 的惨痛经历已经证实了这一点：他的 OpenClaw 实例竟然出现在了暗网 BreachForums 上公开叫卖。

Maor 指出，整个行业都在给 AI 智能体（AI Agents）提供人类员工都从未拥有的自主权，却在过程中抛弃了零信任（Zero Trust）、**最小权限（Least Privilege）和假定失陷（Assume-Breach）**等核心安全原则。 💡

🚨 真实案例：CEO 助理成了黑客的“实时情报源”

在 Maor 采访的三周前，一名黑客以 2.5 万美元的价格（门罗币或莱特币支付）打包出售某位 CEO 电脑的 Root Shell 访问权。但真正的卖点不是 Shell，而是该 CEO 的 OpenClaw AI 私人助理。

买家可以获得：

更可怕的是，黑客特别标注：该 CEO 仍在实时与 OpenClaw 交互。这意味着买家得到的不是静态数据，而是实时更新的情报流。 😱

在采访现场，Maor 运行了一个实时的 Censys 查询。结果令人心惊：

短短一周，暴露的实例数量就翻了一倍。

OpenClaw 的攻击面主要由三个高危 CVE 定义：

虽然这些漏洞都已修复，但 OpenClaw 缺乏企业级管理平面，没有集中补丁机制，更没有全网范围的“终止开关（Kill Switch）”。管理员必须手动更新每个实例，而绝大多数人并没有这么做。 ⚠️

Maor 用 OODA 循环（观察、定位、决策、行动）来描述这种可见性失效。大多数企业在第一步“观察”就失败了：安全团队根本不知道内网跑着哪些 AI 工具，导致员工私自引入的工具成了攻击者利用的影子 AI（Shadow AI）。

更糟糕的是“幽灵智能体（Ghost Agents）”：企业在试用 AI 工具后失去兴趣，但智能体依然带着凭据在后台运行。

在 RSAC 2026 上，安全巨头们终于坐不住了：

Cisco 总裁 Jeetu Patel 将 AI 智能体比作“极度聪明但无所畏惧的青少年”。

DefenseClaw
：集成了技能扫描器（Skills Scanner）、AI 软件物料清单（AI BoM）等工具，运行在 NVIDIA 的 OpenShell 运行时中。
Duo Agentic Identity
：将智能体注册为具有时限权限的身份对象，从源头管控权限。

CEO Nikesh Arora 强调了监管“不受控市场”的重要性。

无论你使用哪家供应商的方案，以下四项控制措施必须立即落地：

🔍 资产盘点
：利用 EDR 或 MDM 查询终端上的 ~/.openclaw/ 目录。如果没有工具，就去 Shodan 或 Censys 上搜自家的公网 IP 段。
🛠️ 补丁或隔离
：检查所有实例是否修补了上述三个高危 CVE。无法修补的，立即进行网络隔离。
🕵️ 审计插件（Skills）
：清理所有来自未经验证源的插件。
📉 杀掉幽灵智能体
：建立 AI 智能体台账。没有业务正当性的、没有明确负责人的、权限过大的，通通吊销凭据。

OpenClaw 的爆雷是当下“AI 狂热”与“安全滞后”之间巨大鸿沟的缩影。

在国内，类似的 AI 智能体框架也在雨后春笋般涌现。很多企业在追求生产力提升时，往往给智能体开了“绿灯”，直接授予文件读写、内网访问甚至 API 调用权限，却忽略了这些“勤奋的助手”可能在无意中成了“最危险的内鬼”。

最讽刺的一点是：当我们在谈论 AI 改变世界时，黑客已经在用 AI 自动化地收割我们的 AI。安全不是 AI 发展的刹车，而是它能跑得更远的底盘。如果你的 AI 智能体连一个企业级的“终止开关”都没有，那你可能正坐在一颗随时会引爆的定时炸弹上。

求点赞 👍 求关注 ❤️ 求收藏 ⭐️你的支持是我更新的最大动力！