关键词
OpenClaw
2026年初,一款名为 OpenClaw 的开源自主 AI 框架在技术社区迅速走红。然而,仅在大规模部署后的 72 小时内,多支黑客组织便开始针对其展开系统性攻击。
安全研究机构披露,目前已有超过 30,000 个 OpenClaw 实例被攻陷,用于窃取 API Key、劫持消息流量,并通过 Telegram 等渠道分发信息窃取型恶意软件。
这并非一次普通漏洞利用事件,而是 AI Agent 生态首次遭遇大规模武器化攻击。
一、OpenClaw 为何成为高价值攻击目标
OpenClaw 由开发者 Peter Steinberger 创建,后加入 OpenAI。该框架定位为“自主执行任务的 AI Agent”,支持本地文件系统访问、长期记忆存储、API 调用及插件扩展。
其核心架构具备以下特征:
具备系统级访问权限
支持持久化记忆
可读取环境变量与凭证
可调用外部服务 API
支持社区技能市场
默认监听端口 18789
这意味着,一旦攻击者获得执行权限,不仅可以窃取数据,还可以利用 Agent 代替用户执行操作,形成持续性控制。
二、72 小时内爆发的攻击链 1. 远程代码执行漏洞(CVE-2026-25253)
攻击者利用高危 RCE 漏洞实现任意命令执行,随后:
读取环境变量
提取 OpenAI、GitHub、AWS 等 API Key
建立持久后门
进行横向移动
如果 OpenClaw 部署在 CI/CD 环境或开发服务器,其影响范围将迅速扩大。
2. “ClawHavoc”供应链攻击
1 月 29 日,被命名为 “ClawHavoc” 的攻击活动被发现。
攻击者伪装成加密工具的 setup 脚本,在 macOS 上投放 Atomic Stealer,在 Windows 上植入键盘记录器。大量用户在不知情的情况下执行恶意脚本,导致系统与凭证被全面接管。
该攻击利用了开源社区的信任机制,通过伪装正常 GitHub 账号发布更新,绕过基本审查。
3. 技能市场投毒
OpenClaw 允许开发者上传“技能(Skills)”扩展功能,但平台缺乏代码审核与签名机制。
攻击者上传带后门的技能,一旦用户自动更新:
恶意代码立即执行
OAuth Token 被实时窃取
API Key 被回传至远程服务器
这是一种典型的自动化供应链污染模式。
4. 大规模公网暴露
2 月中旬扫描显示,超过 300,000 个 OpenClaw 实例运行在默认端口 18789,其中大量未启用认证机制。
多处蜜罐记录显示,实例暴露后数分钟内即遭扫描与利用尝试。
这说明攻击已实现自动化批量利用。
三、为何这是 AI 安全的转折点
传统 Web 服务被攻破,通常带来数据泄露风险。
但 AI Agent 被攻破,风险升级为“行为劫持”。
攻击者不仅窃取数据,还可以:
操控 Agent 执行恶意操作
伪造合法请求
自动滥用账户权限
扩散至企业内部系统
当一个系统具备“代用户行动”的能力,其安全模型必须重构。
OpenClaw 事件说明,自主 AI 框架正在成为新的攻击面。
四、暴露的结构性问题
此次事件暴露出多个设计缺陷:
默认高权限运行
未限制系统调用
无技能签名机制
默认端口暴露公网
缺乏威胁建模
AI 框架在追求功能能力的同时,未建立完整的安全基线。
这为攻击者提供了极低门槛的利用环境。
五、企业侧加固建议
对于正在测试或使用类似自主 Agent 框架的企业,应立即采取以下措施:
运行隔离
使用容器或沙箱运行
禁止 root 权限
限制系统调用
凭证管理
禁止明文环境变量
使用专用 Secrets 管理系统
启用短期 Token
网络控制
禁止默认端口公网暴露
增加反向代理认证
启用 IP 白名单
插件管理
禁止自动更新
实施代码签名校验
建立技能白名单机制
行为监控
监控异常 Shell 调用
审计外联流量
检测异常文件访问
六、结语:Agent 安全时代已经开始
OpenClaw 事件不是孤例,而是趋势。
当 AI Agent 具备系统访问能力与自动执行能力,其安全风险已经超越传统应用。攻击者正在将其纳入自动化攻击工具链。
未来,AI 框架若不采用“安全优先设计”,将持续成为高危入口。
这场攻防战,已经进入新的阶段。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴