有人让 AI 龙虾帮忙查信用卡盗刷,结果龙虾查着查着把自己气到爆粗口——因为它发现主人的远程桌面对全世界敞开着,还没设密码。
一个真实的翻车故事
前不久有个用户发现自己信用卡被盗刷,慌了,让自己部署的 OpenClaw(他给它取名叫「顾衍」)帮忙排查。
龙虾先查了 SSH,一切正常——全部公钥登录,没有异常 IP。
然后它翻到了 VNC(远程桌面)的配置,直接炸了。
怎么回事呢?这哥们的 x11vnc 绑了 0.0.0.0 还加了 -nopw(无密码)。翻译成人话就是:他把自己电脑的屏幕投到了「时代广场的大屏幕」上,不光能看,还能操作。
更要命的是,Chrome 浏览器里还登着 Google 账号、登着 Stripe 支付后台。任何人连上就能用。
结果,真有人连上了。通过 Outlook 收验证码、用 Stripe 下单,还试图给自己升级一个 Claude Max。
连帮你干活的 AI 看到这配置都绷不住了,何况黑客呢。
25 万个实例裸奔在公网上
这不是个例。有个网站叫 OpenClaw Exposure Watchboard,专门扫描暴露在公网上的 OpenClaw 实例。
截至目前,看板收录了 258,305 个暴露在公网上的 OpenClaw 实例。分布在全球各地——腾讯云、百度云、阿里云、AWS,你能想到的云厂商全有。
随便翻一条:杭州某实例,auth 认证没开,hasLeakedCreds 写着 Leaked——不仅门没锁,钥匙还插在锁眼上。
SecurityScorecard 的独立扫描结果同样触目惊心:四万多个暴露实例中,一万五千多个能被远程执行代码,78% 跑的是没打补丁的老版本。
为什么这么多人裸奔?因为 OpenClaw 太火了。
GitHub 星标 266k,前无古人的速度。搞开发的自己部署一个,不搞开发的花 1200 找人上门装一个,公司里部署、云服务器上部署、家里 NAS 上部署。连开零售店的朋友都在问:「这个 AI 龙虾是不是很厉害?」
火是真的火,裸奔的也是真的多。
五把刀:OpenClaw 的五大安全隐患
第一刀:「一改就裸」
OpenClaw 默认绑定 127.0.0.1(只有本机能访问),这是安全的。但部署到云服务器后,大家做的第一件事就是把 gateway.bind 从 loopback 改成 lan 或直接绑 0.0.0.0——改完,18789 端口就对全世界敞开了。
Docker 部署也有坑:早期 docker-compose 的端口映射写的就是 0.0.0.0,有人提 PR 想改成 loopback,至今没合并。
很多人压根不知道 0.0.0.0 和 127.0.0.1 的区别。教程上说跑起来就行,他就跑起来了。
第二刀:绑了 localhost 也不安全——ClawJacked 漏洞
你以为不绑 0.0.0.0 就安全了?Oasis Security 发现了一个叫 ClawJacked 的漏洞,这是一条完全独立的攻击链。
原理是这样的:任何网页的 JavaScript 都可以通过 WebSocket 连接你本机的 localhost 端口,浏览器不拦。攻击过程:
- 你访问一个恶意网页
- 网页里的 JS 悄悄连上你本地的 OpenClaw Gateway
- Gateway 对 localhost 连接的速率限制直接豁免
- 攻击者可以每秒几百次暴力破解密码
- 破解后 Gateway 自动批准本地配对请求,不需要用户确认
你点一个恶意网页,Agent 就归别人了。绑没绑 0.0.0.0 无所谓。
第三刀:权限给太多了
OpenClaw 的 Skill(插件)拥有的权限包括:文件系统读写、任意代码执行、网络访问。一个 Skill 拿到的权限比大多数公司员工都大。
Agent 一旦被接管,攻击者可以:跑系统命令、偷 SSH 密钥、偷浏览器密码、偷加密钱包、偷 API 密钥,随便来。
第四刀:ClawHub 应用市场是重灾区
Snyk 安全团队扫了 ClawHub 上近 4,000 个 Skill,结果发现超过 36%(1,467 个) 存在安全缺陷:提示词注入、凭证处理不当、可疑下载链接等。经人工确认的恶意 Skill 有 76 个。
更狠的是一波叫 ClawHavoc 的供应链攻击——把 macOS 上的 Atomic Stealer 和 Windows 上的键盘记录器伪装成正常的加密货币工具。你装了这个 Skill,以为它在帮你查币价,实际上它在默默导出你的钱包私钥。
第五刀:凭证明文存储
API 密钥、OAuth Token 很多以明文存在 ~/.openclaw/ 目录下的配置文件里:openclaw.json、auth-profiles.json、.env 都可能有。
官方安全指南建议文件权限设成 600——反过来说,就是很多人跑着的实例权限比这宽松得多。
完整安全修复方案
如果你已经部署了 OpenClaw,先别慌,但也别太不慌。按以下步骤操作:
1. 检查是否暴露
先去 openclaw.allegro.earth 搜你的 IP。如果出现了——恭喜,你已经被全世界看到了。
2. 修改网络绑定
# openclaw.json 或 config
gateway:
bind: loopback # 不要用 lan 或 0.0.0.0
改完外网就访问不了了。需要远程访问的话,上 Nginx 反代,加 HTTPS 和认证。
3. 运行安全审计
openclaw security audit --deep
openclaw security audit --fix
只能查出大约 60% 的已知问题,但有总比没有强。
4. 收紧文件权限
chmod 700 ~/.openclaw
chmod 600 ~/.openclaw/openclaw.json
5. 清理可疑 Skill
ClawHub 上三分之一的 Skill 有问题。不认识的、不常用的,先卸了再说。
6. 轮换所有密钥
API 密钥、OAuth Token,如果曾经写在配置文件里,就当它们已经泄露了。去各个平台重新生成。
7. 升级版本
至少升到 2026.2.26 以上。ClawJacked 在 2026.2.25 修复,2026.2.26 有更全面的安全加固。
openclaw update
8. 远程访问正确姿势
如果必须远程访问,推荐方案:
- Tailscale/WireGuard:通过私有网络访问,端口不暴露公网
- Nginx + HTTPS + Basic Auth:反向代理加认证
- SSH 隧道:
ssh -L 18789:localhost:18789 user@server
编辑点评
OpenClaw 的安全问题本质上不是产品的锅——它默认配置是安全的。问题出在「太好用了」和「太容易改了」之间的落差。
当一个开发者工具变成「国民工具」,用户群从极客扩展到普通人时,「默认安全」就不够了,需要「怎么改都安全」。这不只是 OpenClaw 的挑战,也是整个 AI Agent 时代的缩影:当 AI 拥有了操作电脑、读写文件、执行命令的能力后,安全边界就从「保护数据」升级到了「保护控制权」。
菜刀在厨房里用没问题,绑在无人机上飞出去那就不好说了。
25 万个裸奔实例背后,是 25 万个把家钥匙挂在门把手上的人。别做其中之一。
参考来源: 知乎 @安全分析
