OpenClaw 的安全危机 - 2026 年最大的 AI 代理丑闻
OpenClaw - 一个拥有超过 180,000 个 GitHub 星标的开源 AI 代理 - 遭遇了 AI 工具史上最严重的安全危机。 2026 年 2 月,研究人员发现了 7 个严重漏洞,135,000 多个暴露的实例,以及 800 多个通过官方 ClawHub 市场传播恶意软件的恶意技能。
Google 开始禁止使用 OpenClaw 的付费 AI 订阅用户。Meta 在所有工作设备上禁止使用它。CrowdStrike、Cisco 和 Nature 发布了紧急公告。
如果您正在运行 OpenClaw,第一件事是立即通过 AI Perks 保护合法的 API 凭证 - 来自受损实例的泄露和被盗密钥已在网上流传。
在AI工具上节省创始人预算
| Software | 预估积分 | 审批指数 | 操作 | |
|---|---|---|---|---|
危机时间线 - 一切是如何发生的
这场危机并非一夜之间发生。在三周的时间里,随着安全研究人员层层剥开漏洞,危机不断升级。
| 日期 | 事件 |
|---|---|
| 1 月 29 日 | CVE-2026-25253 在 OpenClaw v2026.1.29 中被静默修补 |
| 2 月 3 日 | CVE-2026-25253 公开披露 - CVSS 8.8(一次点击即可远程代码执行) |
| 2 月 4 日 | 披露了额外的命令注入 CVE |
| 2 月 5 日 | 研究人员在 ClawHub 上发现了 341 个恶意技能(约占注册表的 12%) |
| 2 月 6 日 | Moltbook 泄露了 150 万个 API 令牌 |
| 2 月 7-8 日 | Google 开始限制使用 OpenClaw 的 AI 订阅用户 |
| 2 月 9 日 | SecurityScorecard 报告了 40,000 多个暴露的 OpenClaw 实例 |
| 2 月 15 日 | 暴露的实例增至 135,000 多个;恶意技能增至 800 多个 |
| 2 月 17 日 | Cline CLI 2.3.0 的供应链攻击悄悄安装了 OpenClaw |
| 2 月 20 日 | Meta 在工作设备上禁止 OpenClaw;The Register 发布了完整的 Cline 报告 |
三周。 OpenClaw 从历史上最令人兴奋的开源项目瞬间变成了 AI 安全领域最大的警示故事。
动摇 OpenClaw 的 7 个漏洞
七个 CVE 在几周内接连披露。其中三个有公开的利用代码,意味着任何人都可以利用它们攻击未打补丁的实例。
CVE-2026-25253 - 一次点击即可远程代码执行(CVSS 8.8)
这是最重要的问题。通过任何消息平台(WhatsApp、Telegram、Discord)发送的恶意链接,都可以在几毫秒内劫持整个 OpenClaw 实例。
该漏洞利用 gatewayURL 查询参数来窃取身份验证令牌。一旦攻击者获得令牌,他们就可以在受害者机器上执行任意命令。只需一次点击即可获得完全系统访问权限。
补丁已于 1 月 29 日在 v2026.1.29 中发布,但 CVE 直到 2 月 3 日才公开披露。研究人员估计,有数千个实例在数周内未打补丁。
其他六个 CVE
| 漏洞 | 类型 | 严重性 | 影响 |
|---|---|---|---|
| SSRF(服务器端请求伪造) | 网络 | 高 | 攻击者通过 OpenClaw 访问内部服务 |
| 缺少身份验证 | 访问控制 | 严重 | 控制暴露实例无需凭证 |
| 路径遍历 | 文件系统 | 高 | 读取或写入主机上的任意文件 |
| 命令注入 | 执行 | 高 | 通过精心构造的输入执行系统命令 |
| 令牌泄露(网关) | 身份验证 | 严重 | 通过恶意 URL 窃取会话令牌 |
| 不安全的默认配置 | 配置 | 中 | 绑定到 0.0.0.0:18789 - 监听所有网络接口 |
默认配置问题值得特别关注。开箱即用,OpenClaw 监听端口 18789 上的所有网络接口,无需身份验证。这意味着任何新安装的实例都可被同一网络上的任何人访问——如果端口暴露,甚至可以被整个互联网访问。
135,000 个暴露的实例 - 问题规模
SecurityScorecard 的 STRIKE 团队进行了全互联网扫描,发现数字惊人。
主要发现:
- 135,000 多个 OpenClaw 实例暴露在公共互联网上
- 93.4% 的暴露实例存在身份验证绕过条件
- 5,194 个实例被积极验证为易受已知 CVE 攻击
- 53,000 多个 实例与已知威胁行为者的 IP 地址相关联
数字增长迅速。2 月 9 日的一项早期独立研究发现了 42,665 个暴露的实例。六天后,数量增加了两倍多。
“暴露”是什么意思? 意味着 OpenClaw 实例可以从互联网访问,无需身份验证。任何找到它的人都可以发送命令、读取数据、访问已连接的消息账户,并在主机上执行代码。
对于运行 OpenClaw 并使用 AI Perks 提供合法 API 凭证的用户 - 立即检查您的实例是否公开可访问。如果可访问,请关闭它,轮换您的 API 密钥,并在重新连接前启用身份验证。
800 多个恶意技能 - ClawHub 供应链攻击
ClawHub 是 OpenClaw 的官方技能市场 - 相当于 Node.js 的 npm 或 Python 的 pip。危机开始时,它大约有 3,000 多个技能。
研究人员发现其中 20% 是恶意的。
2 月 5 日的初步扫描发现了注册表中341 个恶意技能。2 月 15 日的后续扫描发现数量已增至800 多个 - 这意味着 ClawHub 的技能中大约有五分之一是用来窃取用户数据的。
恶意技能的作用
主要载荷是 Atomic macOS Stealer (AMOS) - 一种众所周知的凭证窃取恶意软件,它针对:
- 浏览器密码和 Cookie (Chrome, Firefox, Safari, Brave)
- 加密货币钱包 (MetaMask, Phantom, Coinbase Wallet)
- macOS 上的钥匙串密码
- 系统凭证和 SSH 密钥
在此期间安装了任何未经验证的 ClawHub 技能的用户,应假定其凭证已被泄露。
Cline CLI 供应链攻击(2 月 17 日)
2 月 17 日,安全研究人员发现Cline CLI 版本 2.3.0 - 一个流行的命令行工具 - 被泄露,以悄悄地在用户机器上安装 OpenClaw。恶意版本上线了大约 8 小时后才被发现并下架。
在此期间估计有4,000 次下载。在此期间安装了 Cline CLI 的用户可能在不知情的情况下运行了 OpenClaw 实例。
Google 和 Meta 禁止 OpenClaw - 行业回应
安全危机引发了科技巨头的强烈反对。
Google 开始大规模限制使用 OpenClaw 访问模型付费的 Gemini AI Pro 和 Ultra 订阅用户(249 美元/月的套餐)。用户报告称被无警告地封禁,失去了他们付费服务的访问权。Google 的立场是:使用第三方工具访问 AI 模型违反了服务条款。
Meta 发布了一项内部指令,禁止在所有工作设备上使用 OpenClaw。员工被警告称使用 OpenClaw 可能导致解雇。据《韩国时报》报道,其他多家科技公司也纷纷效仿。
CrowdStrike 发布了一份详细的公告,称 OpenClaw 是“一种新型安全风险 - 一个具有广泛系统访问权限的自主代理,大多数用户在部署时缺乏基本的安全卫生习惯。”
Cisco 在其安全团队的一篇博客文章中将 OpenClaw 等个人 AI 代理描述为“安全噩梦”。
Nature 发表了一篇题为“OpenClaw AI 聊天机器人失控 - 这些科学家正在监听”的文章,记录了学术界日益增长的担忧。
行业信息很明确:OpenClaw 功能强大,但默认的安全状况对于专业用途来说是不可接受的。
如果您运行 OpenClaw,如何保护自己
危机很严重,但通过适当的预防措施,OpenClaw 仍然可以使用。以下是关键步骤,从最重要的开始。
步骤 1:获取合法的 API 积分
切勿使用互联网上泄露、共享或“免费”的 API 密钥。 Moltbook 泄露了 150 万个 API 令牌。被盗的密钥正在暗网论坛和 Telegram 频道上传播。
通过 AI Perks 获取您自己的合法积分:
| 积分计划 | 可用积分 | 如何获取 |
|---|---|---|
| Anthropic Claude (直接) | $1,000 - $25,000 | AI Perks 指南 |
| OpenAI (GPT-4) | $500 - $50,000 | AI Perks 指南 |
| AWS Activate (Bedrock) | $1,000 - $100,000 | AI Perks 指南 |
| Microsoft Founders Hub | $500 - $1,000 | AI Perks 指南 |
总计潜在:3,000 美元 - 176,000 美元的合法积分
使用来自 AI Perks 的您自己的密钥,您可以控制暴露的内容。如果发生泄露,您可以立即轮换密钥,而无需依赖受损的基础设施。
步骤 2:立即更新到 v2026.2.22
最新版本包括40 多项安全加固修复、网关身份验证和设备管理。检查您的版本并更新:
openclaw --version
openclaw update
任何低于 2026.1.29 的版本都容易受到一次点击即可远程代码执行的攻击。任何低于 2026.2.22 的版本都缺少关键的安全加固。
步骤 3:启用身份验证
OpenClaw 默认禁用身份验证。这是 93.4% 的暴露实例存在身份验证绕过的最大原因。
在您的配置中启用它:
security:
authentication: true
gateway_auth: true
步骤 4:审计已安装的技能
删除任何您未亲自验证的 ClawHub 技能。由于注册表有 20% 被泄露,最安全的方法是卸载所有技能,然后仅重新安装您已审查过的技能:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
步骤 5:遵循完整的加固指南
有关涵盖网络限制、沙箱配置、日志记录和支出限制的完整 10 步安全清单 - 请阅读我们的 OpenClaw 安全指南。
值得考虑的更安全替代方案
如果安全危机让您重新考虑 OpenClaw,有一些托管的替代方案可以为您处理安全问题。权衡是:定制性较低,但无需担心 CVE。
| 特征 | OpenClaw (自托管) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| 安全模型 | 您管理一切 | Anthropic 管理 | Meta 管理 | OpenAI 管理 |
| CVE 历史 | 2026 年 2 月有 7 个 CVE | 无公开 | 无公开 | 无公开 |
| 数据位置 | 您的设备 | 云 | 云沙箱 | 云 |
| 定制性 | 完全控制 | 代码优先 | 任务优先 | 通用 |
| 成本 | 仅 API 积分 | 20-200 美元/月 | 39-199 美元/月 | 20-200 美元/月 |
每个替代方案仍然需要 AI API 积分才能充分运行。AI Perks 提供 Anthropic、OpenAI、AWS、Google Cloud 等的积分计划 - 因此,无论您选择哪个工具,都能获得保障。
有关每个替代方案的详细分类,请参阅我们的 最佳 OpenClaw 替代方案指南。
常见问题
OpenClaw 在 2026 年 2 月被黑了吗?
OpenClaw 本身并没有被传统意义上黑客攻击。发现了七个严重漏洞并已披露,135,000 多个实例被发现暴露在互联网上且无需身份验证,并且在 ClawHub 上发现了 800 多个恶意技能,它们传播了凭证窃取恶意软件。Moltbook 泄露事件还暴露了 150 万个 API 令牌。
现在使用 OpenClaw 安全吗?
是的,如果配置得当。更新到 v2026.2.22,启用身份验证,审计您的技能,并使用 AI Perks 的合法 API 凭证。未经加固的默认安装不安全 - 但具有最新补丁的正确配置的实例可以解决所有已知漏洞。
为什么 Google 禁止 OpenClaw 用户?
Google 限制了使用 OpenClaw 通过第三方工具访问 Google AI 模型的付费 Gemini AI 订阅用户。这违反了 Google 的服务条款。用户报告称在没有警告的情况下失去了对每月 249 美元套餐的访问权限。请使用 AI Perks 的直接 API 积分,而不是消费者订阅。
什么是 Cline CLI 供应链攻击?
2026 年 2 月 17 日,Cline CLI 版本 2.3.0 被泄露,以悄悄地在用户机器上安装 OpenClaw。恶意版本上线了大约 8 小时后才被发现并下架。估计有 4,000 次下载。如果您在此期间安装了 Cline CLI,请检查是否有未经授权的 OpenClaw 安装。
ClawHub 上存在多少个恶意 OpenClaw 技能?
截至 2026 年 2 月中旬,研究人员在 ClawHub 上发现了800 多个恶意技能 - 约占整个注册表的 20%。主要载荷是 Atomic macOS Stealer (AMOS),它针对浏览器密码、加密货币钱包和系统凭证。请仅安装您亲自审查过的技能。
如果我的 OpenClaw 实例暴露了,我该怎么办?
立即:关闭实例,轮换所有 API 密钥,更改所有已连接账户(电子邮件、消息平台、加密货币钱包)的密码,并扫描恶意软件。然后更新到 v2026.2.22,启用身份验证,并在重新连接前从 AI Perks 获取新的合法 API 积分。
安全危机后 OpenClaw 仍然值得使用吗?
OpenClaw 仍然是功能最强大的开源 AI 代理。安全问题源于不安全的默认设置和快速增长的技能生态系统 - 而不是根本的设计缺陷。通过适当的加固、合法的凭证和谨慎的技能管理,它仍然是一个有吸引力的工具。关键教训是:永远不要使用默认设置运行它。
安全危机是 AI 代理的警钟
OpenClaw 的危机揭示了一个残酷的真相:具有系统级访问权限的开源 AI 代理需要严格的安全卫生习惯。 使 OpenClaw 病毒式传播的默认“安装即用”体验,正是导致 135,000 多个实例暴露的原因。
OpenClaw 基金会(现在由 OpenAI 支持,此前 Peter Steinberger 已转投)正在积极修复这些问题。2026.2.22 版本包括 40 多项安全加固补丁。社区经历了这一切后变得更加强大。
但责任仍然在你。更新您的安装,启用身份验证,审计您的技能,并从 AI Perks 开始使用合法的 API 凭证。无论您是坚持使用 OpenClaw 还是转向托管替代方案 - 您都需要真实的积分,而不是被盗的密钥。
不要让安全危机花费您不必要的代价。在 getaiperks.com 获取合法的 AI 积分并安全地运行您的工具。
