OpenClaw 安全危机 2026:发生了什么以及该怎么做

OpenClaw 在 2026 年 2 月面临 7 个 CVE、135,000 个暴露实例和 800 多个恶意技能。完整的危机时间线以及如何保持安全。

Author Avatar
Andrew
AI Perks Team
8,025

OpenClaw 的安全危机 - 2026 年最大的 AI 代理丑闻

OpenClaw - 一个拥有超过 180,000 个 GitHub 星标的开源 AI 代理 - 遭遇了 AI 工具史上最严重的安全危机。 2026 年 2 月,研究人员发现了 7 个严重漏洞,135,000 多个暴露的实例,以及 800 多个通过官方 ClawHub 市场传播恶意软件的恶意技能。

Google 开始禁止使用 OpenClaw 的付费 AI 订阅用户。Meta 在所有工作设备上禁止使用它。CrowdStrike、Cisco 和 Nature 发布了紧急公告。

如果您正在运行 OpenClaw,第一件事是立即通过 AI Perks 保护合法的 API 凭证 - 来自受损实例的泄露和被盗密钥已在网上流传。


Round Funded
SponsoredRaise money from 10,000+ active vetted investors.
Start Raising

危机时间线 - 一切是如何发生的

这场危机并非一夜之间发生。在三周的时间里,随着安全研究人员层层剥开漏洞,危机不断升级。

日期事件
1 月 29 日CVE-2026-25253 在 OpenClaw v2026.1.29 中被静默修补
2 月 3 日CVE-2026-25253 公开披露 - CVSS 8.8(一次点击即可远程代码执行)
2 月 4 日披露了额外的命令注入 CVE
2 月 5 日研究人员在 ClawHub 上发现了 341 个恶意技能(约占注册表的 12%)
2 月 6 日Moltbook 泄露了 150 万个 API 令牌
2 月 7-8 日Google 开始限制使用 OpenClaw 的 AI 订阅用户
2 月 9 日SecurityScorecard 报告了 40,000 多个暴露的 OpenClaw 实例
2 月 15 日暴露的实例增至 135,000 多个;恶意技能增至 800 多个
2 月 17 日Cline CLI 2.3.0 的供应链攻击悄悄安装了 OpenClaw
2 月 20 日Meta 在工作设备上禁止 OpenClaw;The Register 发布了完整的 Cline 报告

三周。 OpenClaw 从历史上最令人兴奋的开源项目瞬间变成了 AI 安全领域最大的警示故事。


动摇 OpenClaw 的 7 个漏洞

七个 CVE 在几周内接连披露。其中三个有公开的利用代码,意味着任何人都可以利用它们攻击未打补丁的实例。

CVE-2026-25253 - 一次点击即可远程代码执行(CVSS 8.8)

这是最重要的问题。通过任何消息平台(WhatsApp、Telegram、Discord)发送的恶意链接,都可以在几毫秒内劫持整个 OpenClaw 实例。

该漏洞利用 gatewayURL 查询参数来窃取身份验证令牌。一旦攻击者获得令牌,他们就可以在受害者机器上执行任意命令。只需一次点击即可获得完全系统访问权限。

补丁已于 1 月 29 日在 v2026.1.29 中发布,但 CVE 直到 2 月 3 日才公开披露。研究人员估计,有数千个实例在数周内未打补丁。

其他六个 CVE

漏洞类型严重性影响
SSRF(服务器端请求伪造)网络攻击者通过 OpenClaw 访问内部服务
缺少身份验证访问控制严重控制暴露实例无需凭证
路径遍历文件系统读取或写入主机上的任意文件
命令注入执行通过精心构造的输入执行系统命令
令牌泄露(网关)身份验证严重通过恶意 URL 窃取会话令牌
不安全的默认配置配置绑定到 0.0.0.0:18789 - 监听所有网络接口

默认配置问题值得特别关注。开箱即用,OpenClaw 监听端口 18789 上的所有网络接口无需身份验证。这意味着任何新安装的实例都可被同一网络上的任何人访问——如果端口暴露,甚至可以被整个互联网访问。


Round Funded
SponsoredRaise money from 10,000+ active vetted investors.
Start Raising

135,000 个暴露的实例 - 问题规模

SecurityScorecard 的 STRIKE 团队进行了全互联网扫描,发现数字惊人。

主要发现:

  • 135,000 多个 OpenClaw 实例暴露在公共互联网上
  • 93.4% 的暴露实例存在身份验证绕过条件
  • 5,194 个实例被积极验证为易受已知 CVE 攻击
  • 53,000 多个 实例与已知威胁行为者的 IP 地址相关联

数字增长迅速。2 月 9 日的一项早期独立研究发现了 42,665 个暴露的实例。六天后,数量增加了两倍多。

“暴露”是什么意思? 意味着 OpenClaw 实例可以从互联网访问,无需身份验证。任何找到它的人都可以发送命令、读取数据、访问已连接的消息账户,并在主机上执行代码。

对于运行 OpenClaw 并使用 AI Perks 提供合法 API 凭证的用户 - 立即检查您的实例是否公开可访问。如果可访问,请关闭它,轮换您的 API 密钥,并在重新连接前启用身份验证。


800 多个恶意技能 - ClawHub 供应链攻击

ClawHub 是 OpenClaw 的官方技能市场 - 相当于 Node.js 的 npm 或 Python 的 pip。危机开始时,它大约有 3,000 多个技能。

研究人员发现其中 20% 是恶意的。

2 月 5 日的初步扫描发现了注册表中341 个恶意技能。2 月 15 日的后续扫描发现数量已增至800 多个 - 这意味着 ClawHub 的技能中大约有五分之一是用来窃取用户数据的。

恶意技能的作用

主要载荷是 Atomic macOS Stealer (AMOS) - 一种众所周知的凭证窃取恶意软件,它针对:

  • 浏览器密码和 Cookie (Chrome, Firefox, Safari, Brave)
  • 加密货币钱包 (MetaMask, Phantom, Coinbase Wallet)
  • macOS 上的钥匙串密码
  • 系统凭证和 SSH 密钥

在此期间安装了任何未经验证的 ClawHub 技能的用户,应假定其凭证已被泄露。

Cline CLI 供应链攻击(2 月 17 日)

2 月 17 日,安全研究人员发现Cline CLI 版本 2.3.0 - 一个流行的命令行工具 - 被泄露,以悄悄地在用户机器上安装 OpenClaw。恶意版本上线了大约 8 小时后才被发现并下架。

在此期间估计有4,000 次下载。在此期间安装了 Cline CLI 的用户可能在不知情的情况下运行了 OpenClaw 实例。


Round Funded
SponsoredRaise money from 10,000+ active vetted investors.
Start Raising

Google 和 Meta 禁止 OpenClaw - 行业回应

安全危机引发了科技巨头的强烈反对。

Google 开始大规模限制使用 OpenClaw 访问模型付费的 Gemini AI Pro 和 Ultra 订阅用户(249 美元/月的套餐)。用户报告称被无警告地封禁,失去了他们付费服务的访问权。Google 的立场是:使用第三方工具访问 AI 模型违反了服务条款。

Meta 发布了一项内部指令,禁止在所有工作设备上使用 OpenClaw。员工被警告称使用 OpenClaw 可能导致解雇。据《韩国时报》报道,其他多家科技公司也纷纷效仿。

CrowdStrike 发布了一份详细的公告,称 OpenClaw 是“一种新型安全风险 - 一个具有广泛系统访问权限的自主代理,大多数用户在部署时缺乏基本的安全卫生习惯。”

Cisco 在其安全团队的一篇博客文章中将 OpenClaw 等个人 AI 代理描述为“安全噩梦”。

Nature 发表了一篇题为“OpenClaw AI 聊天机器人失控 - 这些科学家正在监听”的文章,记录了学术界日益增长的担忧。

行业信息很明确:OpenClaw 功能强大,但默认的安全状况对于专业用途来说是不可接受的。


如果您运行 OpenClaw,如何保护自己

危机很严重,但通过适当的预防措施,OpenClaw 仍然可以使用。以下是关键步骤,从最重要的开始。

步骤 1:获取合法的 API 积分

切勿使用互联网上泄露、共享或“免费”的 API 密钥。 Moltbook 泄露了 150 万个 API 令牌。被盗的密钥正在暗网论坛和 Telegram 频道上传播。

通过 AI Perks 获取您自己的合法积分:

积分计划可用积分如何获取
Anthropic Claude (直接)$1,000 - $25,000AI Perks 指南
OpenAI (GPT-4)$500 - $50,000AI Perks 指南
AWS Activate (Bedrock)$1,000 - $100,000AI Perks 指南
Microsoft Founders Hub$500 - $1,000AI Perks 指南

总计潜在:3,000 美元 - 176,000 美元的合法积分

使用来自 AI Perks 的您自己的密钥,您可以控制暴露的内容。如果发生泄露,您可以立即轮换密钥,而无需依赖受损的基础设施。

步骤 2:立即更新到 v2026.2.22

最新版本包括40 多项安全加固修复、网关身份验证和设备管理。检查您的版本并更新:

openclaw --version
openclaw update

任何低于 2026.1.29 的版本都容易受到一次点击即可远程代码执行的攻击。任何低于 2026.2.22 的版本都缺少关键的安全加固。

步骤 3:启用身份验证

OpenClaw 默认禁用身份验证。这是 93.4% 的暴露实例存在身份验证绕过的最大原因。

在您的配置中启用它:

security:
  authentication: true
  gateway_auth: true

步骤 4:审计已安装的技能

删除任何您未亲自验证的 ClawHub 技能。由于注册表有 20% 被泄露,最安全的方法是卸载所有技能,然后仅重新安装您已审查过的技能:

openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]

步骤 5:遵循完整的加固指南

有关涵盖网络限制、沙箱配置、日志记录和支出限制的完整 10 步安全清单 - 请阅读我们的 OpenClaw 安全指南


Round Funded
SponsoredRaise money from 10,000+ active vetted investors.
Start Raising

值得考虑的更安全替代方案

如果安全危机让您重新考虑 OpenClaw,有一些托管的替代方案可以为您处理安全问题。权衡是:定制性较低,但无需担心 CVE。

特征OpenClaw (自托管)Claude CodeManus AIChatGPT Agent
安全模型您管理一切Anthropic 管理Meta 管理OpenAI 管理
CVE 历史2026 年 2 月有 7 个 CVE无公开无公开无公开
数据位置您的设备云沙箱
定制性完全控制代码优先任务优先通用
成本仅 API 积分20-200 美元/月39-199 美元/月20-200 美元/月

每个替代方案仍然需要 AI API 积分才能充分运行。AI Perks 提供 Anthropic、OpenAI、AWS、Google Cloud 等的积分计划 - 因此,无论您选择哪个工具,都能获得保障。

有关每个替代方案的详细分类,请参阅我们的 最佳 OpenClaw 替代方案指南。


常见问题

OpenClaw 在 2026 年 2 月被黑了吗?

OpenClaw 本身并没有被传统意义上黑客攻击。发现了七个严重漏洞并已披露,135,000 多个实例被发现暴露在互联网上且无需身份验证,并且在 ClawHub 上发现了 800 多个恶意技能,它们传播了凭证窃取恶意软件。Moltbook 泄露事件还暴露了 150 万个 API 令牌。

现在使用 OpenClaw 安全吗?

是的,如果配置得当。更新到 v2026.2.22,启用身份验证,审计您的技能,并使用 AI Perks 的合法 API 凭证。未经加固的默认安装不安全 - 但具有最新补丁的正确配置的实例可以解决所有已知漏洞。

为什么 Google 禁止 OpenClaw 用户?

Google 限制了使用 OpenClaw 通过第三方工具访问 Google AI 模型的付费 Gemini AI 订阅用户。这违反了 Google 的服务条款。用户报告称在没有警告的情况下失去了对每月 249 美元套餐的访问权限。请使用 AI Perks 的直接 API 积分,而不是消费者订阅。

什么是 Cline CLI 供应链攻击?

2026 年 2 月 17 日,Cline CLI 版本 2.3.0 被泄露,以悄悄地在用户机器上安装 OpenClaw。恶意版本上线了大约 8 小时后才被发现并下架。估计有 4,000 次下载。如果您在此期间安装了 Cline CLI,请检查是否有未经授权的 OpenClaw 安装。

ClawHub 上存在多少个恶意 OpenClaw 技能?

截至 2026 年 2 月中旬,研究人员在 ClawHub 上发现了800 多个恶意技能 - 约占整个注册表的 20%。主要载荷是 Atomic macOS Stealer (AMOS),它针对浏览器密码、加密货币钱包和系统凭证。请仅安装您亲自审查过的技能。

如果我的 OpenClaw 实例暴露了,我该怎么办?

立即:关闭实例,轮换所有 API 密钥,更改所有已连接账户(电子邮件、消息平台、加密货币钱包)的密码,并扫描恶意软件。然后更新到 v2026.2.22,启用身份验证,并在重新连接前从 AI Perks 获取新的合法 API 积分。

安全危机后 OpenClaw 仍然值得使用吗?

OpenClaw 仍然是功能最强大的开源 AI 代理。安全问题源于不安全的默认设置和快速增长的技能生态系统 - 而不是根本的设计缺陷。通过适当的加固、合法的凭证和谨慎的技能管理,它仍然是一个有吸引力的工具。关键教训是:永远不要使用默认设置运行它。


Round Funded
SponsoredRaise money from 10,000+ active vetted investors.
Start Raising

安全危机是 AI 代理的警钟

OpenClaw 的危机揭示了一个残酷的真相:具有系统级访问权限的开源 AI 代理需要严格的安全卫生习惯。 使 OpenClaw 病毒式传播的默认“安装即用”体验,正是导致 135,000 多个实例暴露的原因。

OpenClaw 基金会(现在由 OpenAI 支持,此前 Peter Steinberger 已转投)正在积极修复这些问题。2026.2.22 版本包括 40 多项安全加固补丁。社区经历了这一切后变得更加强大。

但责任仍然在你。更新您的安装,启用身份验证,审计您的技能,并从 AI Perks 开始使用合法的 API 凭证。无论您是坚持使用 OpenClaw 还是转向托管替代方案 - 您都需要真实的积分,而不是被盗的密钥。

在 getaiperks.com 订阅 →


不要让安全危机花费您不必要的代价。在 getaiperks.com 获取合法的 AI 积分并安全地运行您的工具。

This content is for informational purposes only and may contain inaccuracies. Credit programs, amounts, and eligibility requirements change frequently. Always verify details directly with the provider.