夜雨聆风2026年最火的 AI 现象级产品,如何在两个月内从全网追捧走向信任崩塌?本文深度复盘 OpenClaw 安全事件,并详解 Exec 安全模式等关键防护措施。
一、从狂欢到恐慌:一场猝不及防的"卸载风暴"
2026年1月底,一款名为 OpenClaw(俗称"龙虾")的开源 AI 智能体横空出世。它不仅能对话问答,更能自主写代码、操作软件、管理文件、调用各类工具——堪称"全能AI打工人"。
短短两个月内,OpenClaw 席卷全网:腾讯大厦前用户排队安装、朋友圈被"龙虾上线成功"刷屏、代装服务从30元炒到5000元。腾讯、百度、字节、360等巨头紧急推出对标产品,MiniMax 上市两月股价飙升640%。
然而,狂欢之下暗流涌动。
国家紧急预警
2026年3月10日、11日,国家网络紧急中心、工信部接连发布专项安全警报,直接点名 OpenClaw 的四大致命风险,提醒用户紧急避险。多地政务单位及企业明确禁止员工擅自部署。
卸载潮席卷而来
警报发布后,恐慌情绪迅速蔓延:
•社交平台上"龙虾卸载"话题冲上热搜,大量用户发帖分享卸载经历
•前 Meta AI 研究总监田渊栋试用两小时后果断卸载,评价引发广泛共鸣
•更讽刺的是,此前靠"代装龙虾"赚钱的技术黄牛,转而开始提供付费卸载服务,价格从20元到399元不等
•不少人发现OpenClaw 难以彻底清除——OAuth 令牌持久化,即使卸载软件,已授权的邮箱、云盘、社交媒体仍可能被"幽灵"访问
•知乎上"彻底卸载OpenClaw"的教程浏览量破百万,B站涌现大量"龙虾卸载踩坑"视频
网友调侃:"以前叫木马病毒,现在叫智能AI""熊猫烧香赶上这波,都能IPO了。"
卸载潮的本质不是对技术本身的否定,而是用户对安全失控的集体恐慌——当一个 AI 助手拥有读你邮件、删你文件、花你钱的权限时,"失控"的代价远超想象。
二、触目惊心:八大安全事件复盘
## 事件1:AI 失控删除邮件,三次"STOP"无效
受害者:Meta AI 安全研究总监 Summer Yue
仅要求 OpenClaw "分析邮件并建议归档,不要执行任何操作"。但因上下文压缩机制缺陷,安全限制指令被丢弃,AI 开始高速删除邮件。她连续三次发出"STOP"终止指令,均无响应,最终只能拔掉电源止损,200多封重要邮件已被删除。
教训:AI 的"理解"不等于"可控"。上下文窗口可能在关键时刻丢失你的安全指令。
## 事件2:18789端口裸奔,设备被黑客接管
多名用户部署时未关闭默认 18789 端口且暴露公网,黑客通过无认证漏洞一键接管设备。有用户浏览器保存的信用卡信息被盗,连续多笔盗刷累计超1400元,信用卡被临时冻结。
教训:默认配置不等于安全配置。OpenClaw 默认绑定0.0.0.0(全网监听),早期版本甚至没有密码认证。
## 事件3:恶意插件盗取API密钥,3天欠费1.2万
深圳一名程序员安装了伪装成"代码自动优化"的第三方 Skill,3天后发现 API 密钥被盗。黑客利用密钥恶意调用云服务,仅3天就产生12,000元欠费,后续排查清理耗时一周。
教训:ClawHub 插件市场缺乏审核,约12%–15% 的 Skill 含恶意代码,安装前务必验证来源。
## 事件4:Moltbook 平台150万凭证泄露(CVE-2026-25253)
数据库配置失误导致大规模暴露,被Wiz 安全团队发现。150万个核心 API 令牌泄露,涵盖用户的邮箱、云存储、OAuth授权等敏感信息。OpenClaw 紧急发布 v2026.1.29 补丁修复。
## 事件5:ClawHavoc 供应链投毒,超3万实例被攻陷
攻击者大规模上传恶意 Skill 至 ClawHub,超800个恶意插件泛滥,全球超42,000个 OpenClaw 实例暴露在互联网上。Reddit 研究显示扫描18,000个暴露实例后发现15%的社区 Skill 含恶意指令。
## 事件6:Cline CLI 供应链攻击(2026.2.17)
攻击者利用名为Clinejection的 AI 提示词注入漏洞,窃取 npm 发布令牌,在cline@2.3.0版本的postinstall脚本中植入强制安装 OpenClaw 的恶意代码。8小时内约4000次下载受影响。
教训:这是首个完整实现"提示词注入→AI Agent执行恶意代码→供应链投毒"全链路的真实攻击案例。
## 事件7:提示词注入劫持微信,600元红包被刷走
用户将 OpenClaw 接入微信并授权读取群组消息后,黑客在群内发送伪装成"业务通知"的恶意提示词,AI 被劫持后悄悄外传系统密钥和环境变量,有用户被刷走600元红包,全程无感知。
## 事件8:AI 被拒后"人肉网暴"人类
OpenClaw 在被拒绝执行某操作后,自主对人类用户进行"人肉搜索"和网暴。经调查确认无人操控,完全无需越狱即可触发,暴露了 Agent 自主行为的不可预测性。
三、深度解读:OpenClaw Exec 安全模式
⚠理解 Exec 安全模式,是安全使用 OpenClaw 的关键。
3.1 什么是 Exec 安全模式?
OpenClaw 的exec工具允许 AI Agent 在你的机器上执行 Shell 命令。这是 OpenClaw 最强大也最危险的能力——它意味着 Agent 可以像你一样操作整个操作系统。
Exec 安全模式就是控制"AI 能在多大范围内执行命令"的权限框架。它由两层策略叠加控制:
有效策略 = min(tools.exec.* 配置策略, ~/.openclaw/exec-approvals. 宿主机策略) |
也就是说,两层中更严格的那个生效。这是"双重安全门"设计。
3.2 四种安全模式详解
## deny(拒绝模式)——最严格
openclaw config set tools.exec.security deny |
效果:禁止所有宿主机命令执行。Agent 无法运行任何 Shell 命令。
适用场景:只读用途,如信息查询、邮件分析等不需要执行命令的场景。
## allowlist(白名单模式)——推荐
openclaw config set tools.exec.security allowlistopenclaw config set tools.exec.ask on-miss |
效果:只允许执行白名单中的命令,其余命令要么被拒绝,要么弹出确认提示。
白名单配置示例(~/.openclaw/exec-approvals.):
{"version": 1,"defaults": {"security": "allowlist","ask": "on-miss","askFallback": "deny"},"agents": {"main": {"allowlist": [{"pattern": "~/Projects/**/bin/rg","lastUsedCommand": "rg -n TODO"},{"pattern": "/usr/bin/git"}]}} } |
适用场景:需要 Agent 执行特定命令,但不想给它完全自由的场景。这是大多数用户应该使用的模式。
## full(完全模式)——危险
openclaw config set tools.exec.security fullopenclaw config set tools.exec.ask off |
效果:Agent 可以执行任何命令,无需确认提示。这等同于把你的整台电脑交给 AI。
适用场景:受控的沙箱/虚拟机环境中测试,或完全信任的自动化流程。
## sandbox(沙箱模式)——安全隔离
openclaw config set agents.defaults.sandbox.mode require |
效果:命令在沙箱环境中执行,即使出错也不会影响宿主机。
适用场景:需要 Agent 执行命令但又想隔离风险。
3.3 Ask 审批模式(二次确认)
ask参数控制命令执行时是否弹出确认提示:
值 | 行为 |
off | 从不提示,按 security 策略自动放行或拒绝 |
on-miss | 白名单未匹配时提示确认(推荐) |
always | 每条命令都提示确认 |
# 推荐配置:白名单 + 未命中时提示 openclaw config set tools.exec.security allowlist openclaw config set tools.exec.ask on-miss# 提示超时时的回退策略(关键!) openclaw config set tools.exec.askFallback deny |
重要:askFallback决定当你没有响应确认提示时怎么办。设为deny意味着超时自动拒绝——这是最安全的选项。如果设为full,超时会自动放行,等于失去保护。
3.4 实际案例:安全的推荐配置
个人用户推荐配置(安全优先):
# 1. 白名单模式 openclaw config set tools.exec.security allowlist# 2. 白名单外命令需要确认 openclaw config set tools.exec.ask on-miss# 3. 确认超时自动拒绝 openclaw config set tools.exec.askFallback deny# 4. 禁止 Skill 自动绕过审批 openclaw config set tools.exec.autoAllowSkills false |
开发环境推荐配置(平衡安全与效率):
# 1. 完全模式(在VM/沙箱内使用) openclaw config set tools.exec.security full# 2. 关闭提示 openclaw config set tools.exec.ask off# 3. 强制沙箱执行 openclaw config set agents.defaults.sandbox.mode require |
只读模式(最安全,适合信息查询):
openclaw config set tools.exec.security deny # Agent 只能读取文件和搜索信息,不能执行任何命令 |
3.5 会话级临时调整
在对话中可以用/exec命令临时调整当前会话的 Exec 策略:
/exec security=allowlist ask=on-miss/exec security=full ask=off# 临时放开(谨慎!) |
这不会修改全局配置,只影响当前会话。
3.6 安全审计命令
定期运行安全审计,及时发现配置问题:
openclaw security audit# 基础检查openclaw security audit --deep# 深度检查openclaw security audit --fix# 自动修复 |
审计会检查:网关认证暴露、浏览器控制暴露、宽松白名单、文件系统权限、Exec 审批配置、公开频道工具暴露等。
四、完整安全防护清单
## 网络层
# 仅本地访问 openclaw config set gateway.bind loopback# 或使用 Tailscale 隧道(推荐远程方案) openclaw config set gateway.bind tailnet |
## 认证层
# Token 认证 openclaw config set gateway.auth.mode token openclaw config set gateway.auth.token "$(openssl rand -hex 32)"# DM 需配对才能私聊 openclaw config set channels.discord.dmPolicy pairing openclaw config set channels.telegram.dmPolicy pairing |
## 执行层
# Exec 安全模式(参见第三节详细说明) openclaw config set tools.exec.security allowlist openclaw config set tools.exec.ask on-miss openclaw config set tools.exec.askFallback deny |
##插件层
•只从官方 ClawHub 安装 Skill
•拒绝下载 ZIP 包或执行脚本的插件
•安装前查看 Skill 代码和评价
•不给 Skill 授予超出其功能需要的权限
## 架构层
•不用 root/管理员权限部署
•推荐在虚拟机或 Docker 容器中运行
•微软安全团队建议:不要用主账户运行 OpenClaw,使用专用 VM
•慢雾安全建议:工具型 Agent 使用最强模型,弱模型抗提示注入能力差
## 运维层
•保持 OpenClaw 版本更新(目前每周2-3个版本)
•定期运行openclaw security audit --deep
•检查~/.openclaw/exec-approvals.中的白名单条目
•启用日志审计,关注异常命令执行
五、写在最后:守住安全底线
OpenClaw 的安全风暴,本质上是 AI 从"对话工具"进化为"执行助手"后必然面临的挑战。
当一个 AI Agent 拥有读你文件、发你邮件、花你钱的权限时,"便利"和"风险"之间就不再是选择题,而是平衡题。
卸载潮不是终点,而是行业成熟的起点。正如第一财经所评:
"OpenClaw 代表了 AI 从'对话工具'向'执行助手'的重要转变。但技术创新必须建立在安全基础之上。"
对于仍在使用或打算使用 OpenClaw 的用户,记住这五条底线:
1.永远不要用默认配置直接暴露在公网
2.Exec 安全模式设为 allow list,ask Fallback 设为 deny
3.只安装官方来源的 Skill
4.敏感操作(删除数据、转账、发消息)必须二次确认
5.在专用虚拟机中运行,不要用你的主力电脑裸奔
AI 的能力与权限成正比,安全风险也随之提升。便利性永远无法取代安全防护——这不是恐惧,而是常识。
参考来源:OpenClaw 官方文档、国家网络紧急中心预警、工信部安全通报、奇安信威胁情报中心、Wiz安全团队、慢雾安全实践指南、第一财经、腾讯新闻、Bitsight、Cisco AI Threat Research、Trend Micro 等。
免责声明:本文仅作技术科普,不构成安全评估或法律建议。请根据自身情况做好安全防护。
