網絡安全評級機構 SecurityScorecard 旗下 STRIKE 威脅情報團隊於 2 月 9 日發表報告,揭示全球超過 13.5 萬個 OpenClaw 實例正暴露於公共互聯網,當中逾 5 萬個存在已知遠端程式碼執行(RCE)漏洞,另有超過 5.3 萬個暴露實例與過往數據洩漏事件相關。
OpenClaw 是一款以「vibe coding」(隨意編程)方式構建的開源自主 AI 代理平台,用戶可透過 WhatsApp、Telegram、Slack 等通訊軟件與 AI 助手互動,並授權其代為執行工作,包括讀寫檔案、發送訊息、控制瀏覽器及運行排程自動化任務。這款工具在短短數星期內爆紅,於 GitHub 累積超過 18 萬個 star,卻因嚴重的安全設計缺陷和用戶錯誤配置,正演變為 2026 年開源 AI 領域最大規模的網絡安全危機之一。
STRIKE 報告揭示的安全災難規模
STRIKE 團隊在報告中強調,OpenClaw 的安全崩塌並非單一漏洞造成,而是「以方便為導向的部署方式、預設設定及薄弱的存取控制」共同作用下的系統性失敗。報告發表時,團隊識別出約 4.29 萬個獨立 IP 地址正託管暴露於互聯網的 OpenClaw 控制面板,分布在 82 個國家。數字在短短數小時內急速攀升至超過 13.5 萬個,反映問題的嚴重程度遠超初步估算。
報告列出幾項關鍵發現:超過 5 萬個實例存在 RCE 漏洞,攻擊者可完全控制主機系統;逾 5.3 萬個暴露實例與已知數據洩漏紀錄相關聯;另有大量實例與已知威脅行為者的 IP 地址相關聯。暴露的部署集中於主要雲端和託管服務供應商,其中 45% 託管在 Alibaba Cloud,37% 的實例位於中國。受影響最嚴重的行業包括資訊服務、科技、製造及電信。
SecurityScorecard 威脅情報及研究副總裁 Jeremy Turner 接受媒體訪問時表示,OpenClaw 的諸多問題是設計上的必然結果,因為平台本身就是為了進行系統變更和向網絡公開額外服務而設計。他以一個生動的比喻解釋:「這就像讓一個陌生人使用你的電腦來幫忙做事。如果你在旁監督並驗證,它會是很大的幫助。但如果你離開並告訴這個人,所有後續指令都會通過電郵或短訊傳達,那麼他可能會聽從任何人的指示。」
預設設定成最大隱患:0.0.0.0 綁定問題
OpenClaw 安全危機的根源之一是其網絡連接的預設配置,STRIKE 團隊指出,OpenClaw 出廠時預設綁定到 0.0.0.0:18789,代表它會監聽所有網絡介面,包括公共互聯網。對於一款擁有如此廣泛系統存取權限的工具,預設值理應是 127.0.0.1(僅限本地主機),但 OpenClaw 偏偏沒有採用這個安全做法。
當大量用戶在部署時沿用預設設定,OpenClaw 的控制面板便直接曝露於互聯網。安全研究員 Jamieson O’Reilly(紅隊測試公司 Dvuln 創辦人)利用 Shodan 搜尋 OpenClaw 的特徵 HTML 指紋,在數秒內便找到數百個結果。他手動檢查的實例中,有 8 個完全沒有任何認證機制,任何發現它們的人都可以完整存取,包括執行指令和查看配置數據。O’Reilly 在這些開放實例中發現了 Anthropic API 密鑰、Telegram 機械人令牌、Slack OAuth 憑證,以及所有已整合通訊平台的完整對話紀錄。
Bitsight 的研究進一步印證了問題的規模,在 1 月 27 日至 2 月 8 日期間,Bitsight 觀察到超過 3 萬個暴露於互聯網的 OpenClaw 實例。Censys 的數據截至 2 月 8 日同樣顯示逾 3 萬個可存取的實例。STRIKE 團隊建立了名為 DECLAWED 的即時威脅儀表板,每 15 分鐘更新一次數據,目前追蹤的暴露實例已超過 10 萬個。
3 大高危漏洞令攻擊門檻極低
OpenClaw 在近數星期內被披露了 3 個高危 CVE 漏洞,全部已有公開的漏洞利用程式碼,令攻擊門檻大幅降低。
第 1 個是 CVE-2026-25253(CVSS 評分 8.8),屬於 1 次點擊即可觸發的遠端程式碼執行漏洞。安全研究機構 DepthFirst 的創始研究員 Mav Levin 發現,攻擊者可製作惡意連結,受害者只要瀏覽該網頁,瀏覽器便會在毫秒內完成跨網站 WebSocket 劫持攻擊。OpenClaw 的伺服器不驗證 WebSocket 來源標頭,攻擊者可藉此繞過本地主機網絡限制,竊取認證令牌,完全控制受害者的 OpenClaw 實例,甚至能停用安全沙盒和安全防護機制。值得注意的是,即使實例僅綁定到本地迴環地址,這個漏洞仍然可被利用,因為連接是由受害者的瀏覽器主動發起。
第 2 個是 CVE-2026-25157(CVSS 評分 7.8),涉及 macOS 應用程式的 SSH 指令注入漏洞。攻擊者可透過惡意構造的項目路徑執行任意指令。第 3 個是 CVE-2026-24763(CVSS 評分 8.8),為 Docker 沙盒逃逸漏洞,攻擊者可透過 PATH 操控突破容器隔離。3 個漏洞均已在 1 月 29 日發布的 v2026.1.29 版本中修補,但 STRIKE 的數據顯示,大部分已識別的實例仍在運行舊版本。
Skills 生態系統淪為惡意軟件溫床
OpenClaw 的 Skills(技能擴充功能)生態系統是另一個重大安全隱患。Skills 透過名為 ClawHub 的公開註冊平台分發,允許社區成員上傳和分享擴充功能。Koi Security 在 ClawHub 中識別出 341 個惡意 Skills,而 Cisco 測試了一個名為「What Would Elon Do?」的第三方 Skill 後發現,它實際上是功能完備的惡意軟件。這個 Skill 指示 OpenClaw 執行 curl 指令,在用戶完全不知情的情況下,將數據傳送到 Skill 作者控制的外部伺服器。
Bitdefender 的研究更為深入,其團隊識別出 14 個正在向 ClawHub 提交惡意內容的帳戶。證據顯示,多個合法 GitHub 帳戶已被入侵,用以為惡意 Skills 營造可信度。其中帳戶 Sakaen736jih 於 2026 年 2 月初被觀察到每隔數分鐘便提交一個新的惡意 Skill,顯示背後使用了自動化部署腳本。帳戶 aslaep123 則是對合法用戶 asleep123 的拼寫搶注。另一帳戶 Hightower6eu 上傳了多達 354 個惡意套件。
OpenClaw 團隊已採取應對措施,宣布與 Google 旗下的 VirusTotal 合作,對上傳到 ClawHub 的所有 Skills 進行掃描。系統會為每個 Skill 建立唯一的 SHA-256 雜湊值,與 VirusTotal 的資料庫進行比對。被判定為惡意的 Skills 會被封鎖下載,所有活躍的 Skills 亦會每日重新掃描。但 OpenClaw 維護者坦承,VirusTotal 掃描並非「靈丹妙藥」,精心隱藏的提示注入攻擊載荷仍有可能逃過檢測。
企業面臨的「影子 AI」威脅
OpenClaw 的安全問題已不再局限於個人用戶的實驗範疇,正加速滲透進企業環境。Token Security 的數據顯示,其客戶群中約 22% 的員工正在使用 OpenClaw(當時仍名為 ClawdBot),令 AI 代理迅速成為企業面對的「影子 IT」挑戰。Bitdefender 從 GravityZone 遙測數據中取得的資料亦提供了實質證據,證明員工正使用簡單的單行指令,在企業電腦上部署 AI 代理,並授予這些工具廣泛的終端和磁碟存取權限。
VentureBeat 的分析指出,企業安全團隊並沒有部署 OpenClaw,防火牆、端點偵測與回應(EDR)及安全資訊與事件管理(SIEM)系統同樣沒有。當代理在「自攜 AI」(Bring-your-own-AI,BYOAI)的硬件上運行時,安全監控便進入盲區。傳統企業防護將 AI 代理視為另一種需要標準存取控制的開發工具,但 OpenClaw 證明這個假設在架構上是錯誤的。
Cyera Research Labs 的研究進一步闡述了風險的本質:OpenClaw 式的代理模糊了個人工具與企業系統之間的界線,將電郵、檔案、日曆、SaaS 數據和雲端憑證匯聚到一個永遠在線的執行平台中。一旦代理聚合了 OAuth 令牌、API 密鑰和 SaaS 權限,任何單一入侵都會獲得跨組織的不對稱影響力。CrowdStrike 研究員也警告,針對 OpenClaw 的攻擊「可以從已連接的系統中洩漏敏感數據,或劫持 OpenClaw 的代理功能來進行偵察、橫向移動和執行攻擊者的指令」。
「Vibe Coding」模式的安全代價
OpenClaw 的安全困境與其「vibe coding」(隨意編程)的開發模式密切相關,Ox Security 研究員指出,「OpenClaw 並不隱瞞它大部分時間都是以 vibe coding 方式開發的事實,甚至進一步積極鼓勵貢獻者提交同樣以 vibe coding 方式編寫的 pull request。」這種做法雖然加速了開發進度,卻可能帶來重大的安全風險。
Trail of Bits 行政總監兼聯合創辦人 Dan Guido 提出了另一個觀點,他曾向 OpenClaw 項目提交安全修復並獲採納,對 Steinberger 的維護速度表示讚賞。Guido 將 OpenClaw 目前的狀態比喻為「沒有建築師的情況下建房子,同時使用不同的承建商」,最終成品「看起來像一件大型現代藝術品」。但他認為這未必是壞事,因為在 AI 代理的協助下,即使是架構層面的大規模重構,修復成本也遠低於傳統軟件開發。
Cyera Research Labs 的總結或許最為精準:OpenClaw 之所以危險,並非因為某一個特定的漏洞,而是因為它悄悄地將個人 AI 實驗轉化為高權限的企業參與者,而過程中沒有人察覺到界線何時被跨越。
企業應如何應對?實用防禦建議
面對 OpenClaw 帶來的安全風險,企業和個人用戶都需要立即採取行動。SecurityScorecard 和多間安全研究機構提出了以下建議。
在網絡配置方面,用戶應立即將 OpenClaw 的網絡綁定從預設的 0.0.0.0 更改為 127.0.0.1(僅限本地主機),並確保更新至最新版本 v2026.1.29 以修補已知的 CVE 漏洞。在權限管理方面,企業應嚴格限制 AI 代理的存取權限,只授予完成任務所必需的最低權限,並定期審查。企業不應以 root 身份運行 AI 代理框架,而應使用專用的低權限服務帳戶。
在資產管理方面,企業需要盤點內部環境中所有 AI 代理的部署情況,包括員工在未經 IT 部門批准的情況下安裝的「影子 AI」。Bitdefender 建議使用 Osquery 等工具在端點上搜尋 OpenClaw 進程,及早發現未經授權的部署。在 Skills 安全方面,Cisco 已將其 Skill Scanner 工具以開源形式發布,企業可利用它掃描代理技能中的惡意行為。
Turner 建議用戶在虛擬機或獨立系統中測試 OpenClaw,嚴格限制其可存取的數據和權限。他的比喻雖然略為尖銳卻發人深省:「把它想像成僱用一個有身份盜竊犯罪紀錄的工人,他精通編程,而且可能會聽從任何人的指示。」
未來 AI 代理安全模式亟需建立
OpenClaw 事件並非孤例,而是代理式 AI 安全挑戰的先行指標。SecurityScorecard 在報告總結中警告,隨着企業日益部署具備自主行動能力的 AI 系統,傳統安全失誤(例如暴露的管理介面、薄弱的認證和不安全的預設設定)正被自動化放大,令原本期望帶來生產力提升的工具反過來成為攻擊者的高價值目標。
AI 代理的安全模式在很大程度上仍是未知領域,企業正在授予這些系統檔案存取、指令執行、網絡存取和身份委派等能力,而這些能力在傳統軟件開發中,從來不會在未經嚴格審查的情況下授予任何應用程式。VentureBeat 的評論指出,企業在未來 30 天內建立的 AI 代理安全模式,將決定它們是從中獲取生產力提升,還是成為下一宗數據洩漏事件的主角。
Trend Micro 的研究團隊強調,即使 OpenClaw 的配置完美無瑕且所有已知漏洞都得到修補,基本風險仍然存在,只是被利用的門檻會提高。這些風險是代理式 AI 範式本身的固有特性:任何擁有系統存取權限、能處理不受信任輸入並可自主執行操作的 AI 代理,都天然具備成為安全威脅的潛力。
整個行業正在競相構建能夠「實際做事」而非「僅僅談論事情」的 AI 系統。OpenClaw 以最直觀的方式證明了一點:AI 代理的潛力是真實的,但安全防護遠遠未能追上技術發展的步伐。正如 Turner 所言:「所有這些新功能都令人驚歎,研究人員為這些新技術的普及化做出了很大的貢獻。但請先學會游泳,然後再跳進大海。」
