【安全圈】OpenClaw 被大规模利用，上千实例沦陷

关键词

OpenClaw

2026年初，一款名为 OpenClaw 的开源自主 AI 框架在技术社区迅速走红。然而，仅在大规模部署后的 72 小时内，多支黑客组织便开始针对其展开系统性攻击。

安全研究机构披露，目前已有超过 30,000 个 OpenClaw 实例被攻陷，用于窃取 API Key、劫持消息流量，并通过 Telegram 等渠道分发信息窃取型恶意软件。

这并非一次普通漏洞利用事件，而是 AI Agent 生态首次遭遇大规模武器化攻击。

一、OpenClaw 为何成为高价值攻击目标

OpenClaw 由开发者 Peter Steinberger 创建，后加入 OpenAI。该框架定位为“自主执行任务的 AI Agent”，支持本地文件系统访问、长期记忆存储、API 调用及插件扩展。

其核心架构具备以下特征：

• 具备系统级访问权限

• 支持持久化记忆

• 可读取环境变量与凭证

• 可调用外部服务 API

• 支持社区技能市场

• 默认监听端口 18789

这意味着，一旦攻击者获得执行权限，不仅可以窃取数据，还可以利用 Agent 代替用户执行操作，形成持续性控制。

二、72 小时内爆发的攻击链 1. 远程代码执行漏洞（CVE-2026-25253）

攻击者利用高危 RCE 漏洞实现任意命令执行，随后：

• 读取环境变量

• 提取 OpenAI、GitHub、AWS 等 API Key

• 建立持久后门

• 进行横向移动

如果 OpenClaw 部署在 CI/CD 环境或开发服务器，其影响范围将迅速扩大。

2. “ClawHavoc”供应链攻击

1 月 29 日，被命名为 “ClawHavoc” 的攻击活动被发现。

攻击者伪装成加密工具的 setup 脚本，在 macOS 上投放 Atomic Stealer，在 Windows 上植入键盘记录器。大量用户在不知情的情况下执行恶意脚本，导致系统与凭证被全面接管。

该攻击利用了开源社区的信任机制，通过伪装正常 GitHub 账号发布更新，绕过基本审查。

3. 技能市场投毒

OpenClaw 允许开发者上传“技能（Skills）”扩展功能，但平台缺乏代码审核与签名机制。

攻击者上传带后门的技能，一旦用户自动更新：

• 恶意代码立即执行

• OAuth Token 被实时窃取

• API Key 被回传至远程服务器

这是一种典型的自动化供应链污染模式。

4. 大规模公网暴露

2 月中旬扫描显示，超过 300,000 个 OpenClaw 实例运行在默认端口 18789，其中大量未启用认证机制。

多处蜜罐记录显示，实例暴露后数分钟内即遭扫描与利用尝试。

这说明攻击已实现自动化批量利用。

三、为何这是 AI 安全的转折点

传统 Web 服务被攻破，通常带来数据泄露风险。

但 AI Agent 被攻破，风险升级为“行为劫持”。

攻击者不仅窃取数据，还可以：

• 操控 Agent 执行恶意操作

• 伪造合法请求

• 自动滥用账户权限

• 扩散至企业内部系统

当一个系统具备“代用户行动”的能力，其安全模型必须重构。

OpenClaw 事件说明，自主 AI 框架正在成为新的攻击面。

四、暴露的结构性问题

此次事件暴露出多个设计缺陷：

1. 默认高权限运行

2. 未限制系统调用

3. 无技能签名机制

4. 默认端口暴露公网

5. 缺乏威胁建模

AI 框架在追求功能能力的同时，未建立完整的安全基线。

这为攻击者提供了极低门槛的利用环境。

五、企业侧加固建议

对于正在测试或使用类似自主 Agent 框架的企业，应立即采取以下措施：

1. 运行隔离

• 使用容器或沙箱运行

• 禁止 root 权限

• 限制系统调用

凭证管理

• 禁止明文环境变量

• 使用专用 Secrets 管理系统

• 启用短期 Token

网络控制

• 禁止默认端口公网暴露

• 增加反向代理认证

• 启用 IP 白名单

插件管理

• 禁止自动更新

• 实施代码签名校验

• 建立技能白名单机制

行为监控

• 监控异常 Shell 调用

• 审计外联流量

• 检测异常文件访问

六、结语：Agent 安全时代已经开始

OpenClaw 事件不是孤例，而是趋势。

当 AI Agent 具备系统访问能力与自动执行能力，其安全风险已经超越传统应用。攻击者正在将其纳入自动化攻击工具链。

未来，AI 框架若不采用“安全优先设计”，将持续成为高危入口。

这场攻防战，已经进入新的阶段。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！