网络安全研究人员发现了大约 1,000 个未保护的网关,这些网关指向 OpenClaw,这是一个开源的、主动的 人工智能 代理,可以通过 WhatsApp 或 Telegram 等应用进行文本对话控制。这些网关在公开互联网中被发现,任何人都可以访问用户的个人信息。一位白帽黑客还据报道利用 OpenClaw 的技能系统,该系统允许用户添加用于网页自动化或系统控制等任务的插件,以达到排名的顶端,并被全球用户下载。该技能本身是无害的,但它利用了一个安全漏洞,恶意黑客可能会利用该漏洞造成严重损害。

访问这些网关将使黑客能够访问 OpenClaw 所能访问的相同文件和内容,这意味着对用户计算机及其所有连接账户(包括电子邮件地址和电话号码)的完全读写控制。已经报告了多起利用这些漏洞的事件。

OpenClaw,最初称为 Clawdbot,由出生于奥地利、现居伦敦的开发者彼得·施泰因伯格于 2025 年 11 月发布,他因开发出一个能让应用程序本地显示和编辑 PDF 的工具而闻名。此次发布是在 2025 年底 AI 在文件交互能力方面取得进展之后进行的。

去年底,许多人开始尝试Anthropic的Claude Code,这是一种自主型人工智能,通过终端或命令行与计算机的文件系统连接,并根据对话提示独立构建大型项目,虽然有一定的监督。这个工具让很多用户感到兴奋,但也让一些不习惯在非图形界面下工作的用户感到沮丧。

作为回应,Anthropic让Claude Code在一个同类产品Claude Work上自主工作,该产品在其基础上提供了更友好的用户界面。虽然它获得了一些关注,但最受瞩目的还是由Anthropic外部开发者开发的第三方产品。

Steinberger的OpenClaw模仿了Claude Code的最佳特性,但具有更多功能,并能够在没有任何提示的情况下主动去做任务。

这种主动性是这个工具与其他AI系统的一个关键区别,该工具在上周应Anthropic的要求被迫更名为Moltbot,随后又改为OpenClaw。它的潜力激励了科技行业,推动了Mac Mini的销量激增,成为托管这个代理的热门选择,并在X和Reddit的某些领域中占据主导地位。

问题在于,使 OpenClaw 如此吸引人的正是它能够在没有专业编码知识和简单设置的情况下管理一个渴望的 AI 助手,这也是让人担忧的地方。“我喜欢它,但我一下子就感到害怕,”网络安全专家 Jake Moore 说。Moore 表示,用户对 OpenClaw 作为个人助手的想法感到如此兴奋,以至于他们授予它对自己数字生活的无限制的访问权限,有时还在配置错误的虚拟私人服务器上托管它。这让他们容易受到黑客攻击。

“把私人消息和电子邮件交给任何新技术都存在风险,如果我们对这些风险没有完全了解,我们可能会进入一个把效率放在安全和隐私之前的新阶段,”Moore 警告说。让 OpenClaw 强大的访问权限也是它被攻破后变得危险的原因。“如果 Clawdbot 运行的设备之一被攻破,攻击者就能访问所有内容,包括完整的历史记录和非常敏感的信息,”他说。

斯坦伯格没有回应多次采访请求,但他已经在网上发布了关于Moltbot的广泛安全文档,尽管许多用户可能不会将其应用到自己的设置中。这让网络安全专家感到担忧。

“像Clawdbot这样的技术虽然很吸引人,但对坏人来说却是个天上掉下来的馅饼,”英国萨里大学的网络安全教授艾伦·伍德沃德说。“强大的能力带来了巨大的责任,但机器本身并不承担责任,”他说。“最终,责任在于用户。”

OpenClaw的运作方式是在没有监督的情况下运行,充当一个始终在线的助手,这可能会让用户在为时已晚时才意识到自己的责任。一些人已经证明Moltbot可能容易受到提示注入攻击,即有害指令被嵌入网站或电子邮件中,希望AI代理能吸收并执行这些指令。“我想知道这些用户心里想的,代理AI要是把他们的账户清空或者发出仇恨言论,谁会被指责,”伍德沃德说。