夜雨聆风01
02
CVE-2026-25253 (OpenClaw):CVSS评分8.8,高危。攻击者只需诱导你点击一个恶意网页链接,就能在几毫秒内窃取你的认证令牌,完全接管你的本地AI Agent,在你的电脑上执行任意代码。
ClawHavoc :OpenClaw官方市场ClawHub发现1,184个恶意Skill,其中341个确认恶意。有一款叫"CalendarSync Pro"的恶意Skill,被4.7万人安装,潜伏了八个月才被发现在偷偷外泄数据。
492个 MCP 服务器 :Trend Micro扫描发现,492个暴露在互联网上的MCP服务器没有任何认证和加密,任何人都可以直接调用它们的工具——包括读写文件、执行命令、查询数据库。
30+ CVE :在MCP协议被大规模采用的最初60天内,安全研究人员提交了超过30个CVE。
平均安全评分34/100 :AI Security Hub对17个流行MCP服务器的安全审计,平均得分34分。这意味着什么?不及格中的不及格。
84.2%攻击成功率 :MCP-ITP安全框架的基准测试显示,在自动批准模式下,针对MCP的攻击成功率高达84.2%。
95%缺乏输入验证 :Anthropic自己在2026年3月的安全审计中发现,95%的MCP服务器缺乏适当的输入验证。
150万 API 令牌 :OpenClaw的Moltbook后端因Redis配置错误,一次性泄露了150万个API令牌和3.5万个用户邮箱。
03
12个专门偷你凭证的Skill
23个给你电脑开后门的远程访问工具
47个把你的数据悄悄发到外面的外泄管道
8,000多个MCP服务器公开暴露在互联网上
其中492个零认证、零加密,任何人都能调用
30多个CVE在60天内涌现
平均安全评分34/100
只有8.5%的服务器实现了OAuth认证
53%的服务器用静态密钥——一旦泄露,永久有效
04
权限边界模糊 :传统API有明确的权限范围。MCP服务器的工具暴露了什么能力,Agent就能做什么——而这个暴露范围往往远超实际需要。一个"查询客户信息"的MCP工具,可能绑定的是数据库管理员账号。
信任链过长 :Agent信任MCP服务器的工具描述,MCP服务器信任后端服务的API,后端服务信任数据库的查询结果。任何一个环节被攻破,整个链条就崩塌。
行为不可预测 :传统API的调用模式是固定的,安全团队可以建模和监控。MCP工具的调用是动态的——Agent自己决定什么时候调用什么工具。这种不可预测性让传统的安全监控手段失效。
05
立即升级到v2026.1.29或更高版本 。CVE-2026-25253的PoC(攻击代码)已经公开,未修复的版本就是活靶子。 审计你的Skill 。把已安装的每一个Skill和ClawHavoc指标列表交叉比对,任何命中立即移除,并按潜在入侵处理。 不要公开暴露你的OpenClaw实例 。如果你部署在服务器上,确保设置了强认证,不要默认开放。
给 MCP 服务器加认证 。OAuth 2.0是最佳实践。不要用静态API密钥。
只读优先 。MCP服务器默认只读,写操作需要额外授权和监控。
隔离生产环境 。开发环境和生产环境的MCP配置分开,不要在开发机上连接生产数据库。
记录所有工具调用 。知道Agent在什么时候调用了什么工具、访问了什么数据。
06
