關(guān)鍵詞

OpenClaw

2026年初，一款名為 OpenClaw 的開源自主 AI 框架在技術(shù)社區(qū)迅速走紅。然而，僅在大規(guī)模部署后的 72 小時內(nèi)，多支黑客組織便開始針對其展開系統(tǒng)性攻擊。

安全研究機構(gòu)披露，目前已有超過 30,000 個 OpenClaw 實例被攻陷，用于竊取 API Key、劫持消息流量，并通過 Telegram 等渠道分發(fā)信息竊取型惡意軟件。

這并非一次普通漏洞利用事件，而是 AI Agent 生態(tài)首次遭遇大規(guī)模武器化攻擊。

一、OpenClaw 為何成為高價值攻擊目標

OpenClaw 由開發(fā)者 Peter Steinberger 創(chuàng)建，后加入 OpenAI。該框架定位為“自主執(zhí)行任務(wù)的 AI Agent”，支持本地文件系統(tǒng)訪問、長期記憶存儲、API 調(diào)用及插件擴展。

其核心架構(gòu)具備以下特征：

• 具備系統(tǒng)級訪問權(quán)限

• 支持持久化記憶

• 可讀取環(huán)境變量與憑證

• 可調(diào)用外部服務(wù) API

• 支持社區(qū)技能市場

• 默認監(jiān)聽端口 18789

這意味著，一旦攻擊者獲得執(zhí)行權(quán)限，不僅可以竊取數(shù)據(jù)，還可以利用 Agent 代替用戶執(zhí)行操作，形成持續(xù)性控制。

二、72 小時內(nèi)爆發(fā)的攻擊鏈 1. 遠程代碼執(zhí)行漏洞（CVE-2026-25253）

攻擊者利用高危 RCE 漏洞實現(xiàn)任意命令執(zhí)行，隨后：

• 讀取環(huán)境變量

• 提取 OpenAI、GitHub、AWS 等 API Key

• 建立持久后門

• 進行橫向移動

如果 OpenClaw 部署在 CI/CD 環(huán)境或開發(fā)服務(wù)器，其影響范圍將迅速擴大。

2. “ClawHavoc”供應(yīng)鏈攻擊

1 月 29 日，被命名為 “ClawHavoc” 的攻擊活動被發(fā)現(xiàn)。

攻擊者偽裝成加密工具的 setup 腳本，在 macOS 上投放 Atomic Stealer，在 Windows 上植入鍵盤記錄器。大量用戶在不知情的情況下執(zhí)行惡意腳本，導(dǎo)致系統(tǒng)與憑證被全面接管。

該攻擊利用了開源社區(qū)的信任機制，通過偽裝正常 GitHub 賬號發(fā)布更新，繞過基本審查。

3. 技能市場投毒

OpenClaw 允許開發(fā)者上傳“技能（Skills）”擴展功能，但平臺缺乏代碼審核與簽名機制。

攻擊者上傳帶后門的技能，一旦用戶自動更新：

• 惡意代碼立即執(zhí)行

• OAuth Token 被實時竊取

• API Key 被回傳至遠程服務(wù)器

這是一種典型的自動化供應(yīng)鏈污染模式。

4. 大規(guī)模公網(wǎng)暴露

2 月中旬掃描顯示，超過 300,000 個 OpenClaw 實例運行在默認端口 18789，其中大量未啟用認證機制。

多處蜜罐記錄顯示，實例暴露后數(shù)分鐘內(nèi)即遭掃描與利用嘗試。

這說明攻擊已實現(xiàn)自動化批量利用。

三、為何這是 AI 安全的轉(zhuǎn)折點

傳統(tǒng) Web 服務(wù)被攻破，通常帶來數(shù)據(jù)泄露風險。

但 AI Agent 被攻破，風險升級為“行為劫持”。

攻擊者不僅竊取數(shù)據(jù)，還可以：

• 操控 Agent 執(zhí)行惡意操作

• 偽造合法請求

• 自動濫用賬戶權(quán)限

• 擴散至企業(yè)內(nèi)部系統(tǒng)

當一個系統(tǒng)具備“代用戶行動”的能力，其安全模型必須重構(gòu)。

OpenClaw 事件說明，自主 AI 框架正在成為新的攻擊面。

四、暴露的結(jié)構(gòu)性問題

此次事件暴露出多個設(shè)計缺陷：

1. 默認高權(quán)限運行

2. 未限制系統(tǒng)調(diào)用

3. 無技能簽名機制

4. 默認端口暴露公網(wǎng)

5. 缺乏威脅建模

AI 框架在追求功能能力的同時，未建立完整的安全基線。

這為攻擊者提供了極低門檻的利用環(huán)境。

五、企業(yè)側(cè)加固建議

對于正在測試或使用類似自主 Agent 框架的企業(yè)，應(yīng)立即采取以下措施：

1. 運行隔離

• 使用容器或沙箱運行

• 禁止 root 權(quán)限

• 限制系統(tǒng)調(diào)用

憑證管理

• 禁止明文環(huán)境變量

• 使用專用 Secrets 管理系統(tǒng)

• 啟用短期 Token

網(wǎng)絡(luò)控制

• 禁止默認端口公網(wǎng)暴露

• 增加反向代理認證

• 啟用 IP 白名單

插件管理

• 禁止自動更新

• 實施代碼簽名校驗

• 建立技能白名單機制

行為監(jiān)控

• 監(jiān)控異常 Shell 調(diào)用

• 審計外聯(lián)流量

• 檢測異常文件訪問

六、結(jié)語：Agent 安全時代已經(jīng)開始

OpenClaw 事件不是孤例，而是趨勢。

當 AI Agent 具備系統(tǒng)訪問能力與自動執(zhí)行能力，其安全風險已經(jīng)超越傳統(tǒng)應(yīng)用。攻擊者正在將其納入自動化攻擊工具鏈。

未來，AI 框架若不采用“安全優(yōu)先設(shè)計”，將持續(xù)成為高危入口。

這場攻防戰(zhàn)，已經(jīng)進入新的階段。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！