15,200个OpenClaw控制面板暴露于互联网，攻击者可获取完整系统权限

OpenClaw 控制面板暴露情况

大规模暴露的 AI 代理系统

快速发展的"Agentic AI"生态系统出现重大安全漏洞，导致数万个个人和企业 AI 助手完全暴露在公共互联网上。SecurityScorecard STRIKE 威胁情报团队最新研究发现，15,200 个流行的 OpenClaw 框架（前身为 Moltbot）实例存在远程代码执行（RCE）漏洞，攻击者可借此完全控制主机设备。

STRIKE 团队通过侦察发现，82 个国家/地区的 42,900 个独立 IP 地址托管着暴露的 OpenClaw 控制面板。与传统面向公众访问的 Web 服务器不同，这些通常是个人工作站或运行 AI Agent 的云实例，由于不安全的默认设置而被无意暴露。

漏洞根源与风险分析

核心问题源于 OpenClaw 的默认配置：该服务绑定到0.0.0.0:18789监听所有网络接口，而非安全的127.0.0.1（本地主机）标准。因此，将该工具用于个人自动化的用户，在不知情的情况下将其控制面板广播至整个互联网。

STRIKE 报告指出："道理很简单：当你赋予 AI Agent 对计算机的完全访问权限时，你也将同样的权限交给了能入侵它的人。"更严重的是，已识别的实例中有 53,300 个与先前的入侵活动相关，表明许多 Agent 运行在已被攻陷或标记为高风险的环境中。

OpenClaw/Clawbot 高危漏洞详情

此次暴露不仅是配置错误，还涉及该软件旧版本中的三个高危通用漏洞披露（CVE），这些旧版本构成了当前部署的绝大多数：

• CVE-2026-25253（CVSS 8.8）："一键式"RCE 漏洞。攻击者可制作恶意链接，若被 OpenClaw 用户点击，将窃取其认证令牌并获得对 Agent 的完全控制权。

• CVE-2026-25157（CVSS 7.8）：macOS 应用中的 SSH 命令注入缺陷，允许通过恶意项目路径执行任意命令。

• CVE-2026-24763（CVSS 8.8）：Docker 沙箱逃逸漏洞，Agent 可通过 PATH 操作突破容器化环境访问主机系统。

虽然 2026 年 1 月 29 日发布的 2026.1.29 版本已修复这些漏洞，但 STRIKE 数据显示 78% 的暴露实例仍在使用标记为"Clawdbot"或"Moltbot"的旧版本，使其对这些攻击毫无防御能力。

独特的威胁放大效应

与传统软件漏洞相比，AI Agent 被入侵会带来独特且放大的威胁。由于 Agent 被设计为代表用户执行操作（如阅读邮件、管理基础设施和执行代码），攻击者控制 Agent 后将继承这些权限。

研究人员解释："Agentic AI 不会创造新类型的漏洞，而是继承旧漏洞并放大其影响。"被入侵的 OpenClaw 实例可立即访问敏感目录，包括~/.ssh/密钥、AWS/云凭证和经过认证的浏览器会话。攻击者可利用此访问权限横向渗透企业网络、清空加密货币钱包，或在 Discord 和 Telegram 等平台上冒充受害者。

调查还发现包括 Kimsuky 和 APT28 在内的 APT（高级持续性威胁）组织活跃在这些暴露实例附近。约 33.8% 的暴露基础设施与已知威胁行为者活动相关，表明这些工具要么被攻击者使用，要么部署在他们已控制的设备上。

关键防御措施

STRIKE 团队敦促所有 OpenClaw 用户立即采取行动保护部署。主要缓解措施是升级至 2026.2.1 或更高版本，该版本修复了 RCE 漏洞。

关键防御步骤包括：

• 绑定本地主机：确保配置设置为gateway.bind: "127.0.0.1"以防止外部访问

• 轮换凭证：将所有存储在 Agent 中的 API 密钥和令牌视为已泄露并立即轮换

• 使用安全隧道：对于远程访问，应使用 Tailscale 或 Cloudflare Tunnel 等零信任隧道，而非直接将端口暴露在互联网上

对于安全团队，STRIKE 建议在边界阻止 18789 端口，并监控源自内部工作站的异常出站 C2（命令与控制）流量。实时追踪暴露情况的仪表板"Declawed"每 15 分钟更新一次易受攻击实例数量，为社区提供修复进度的实时视图。