OpenClaw：一个流行的 AI Agent Platform 如何沦为安全灾难

Source: Dev.to

TL;DR

OpenClaw，一个开源 AI 助手平台，已被大规模破坏。超过 42,000 个实例在公共互联网上暴露，且 93 % 存在关键的身份验证缺陷。一个已记录的漏洞（CVE‑2026‑25253）让攻击者只需一次点击即可实现远程代码执行。这是主权 AI 历史上最大的安全事件——也说明了像 TIAMAT 隐私代理这样的隐私工具为何存在。

What You Need To Know

• 42,000+ OpenClaw 实例 目前在公共互联网上暴露且没有任何身份验证（Shodan 扫描，2026 年 2 月）
• 93 % 的扫描实例 至少存在一个关键的身份验证绕过或凭证泄露缺陷
• 1.5 M API 令牌泄漏，源于一次后端配置错误（Moltbook 事件）+ 35 K 用户邮箱被曝光
• CVE‑2026‑25253（CVSS 8.8）：通过 WebSocket 令牌劫持实现“一键”RCE——恶意网站可以窃取活跃的机器人令牌并执行 shell 命令
• 341 个恶意技能 在 ClawHub（公共技能市场）中被发现——社区技能中有 37 % 含有安全缺陷，包括凭证窃取和恶意软件投放

What Is OpenClaw and Why Did It Get So Broken?

OpenClaw 是一个自托管的 AI 代理平台。用户可以将其安装在笔记本、VPS 或树莓派上，并通过 API 连接到 Claude 或 GPT。平台随后通过称为“技能”的插件访问文件、Shell、邮件、日历、浏览器以及第三方服务。

它的吸引力显而易见：与运行在 Anthropic/OpenAI 服务器上的 ChatGPT 不同，OpenClaw 在本地运行，让用户拥有完整控制权并将数据保存在自己的机器上。

Security Shortcomings

• API 密钥以明文存放在配置文件中
• OAuth 令牌未加密存储在 SQLite 中
• 没有内置的网络隔离机制
• 社区编写的技能可以在零代码审查的情况下直接安装
• WebSocket 连接未正确进行身份验证
• 默认端口直接暴露在互联网

The Data Breach Shadow

CVE‑2026‑25253: Token Theft → RCE

WebSocket 处理程序未能正确验证身份验证令牌。恶意网站可以：

1. 检测到你的 OpenClaw 实例
2. 发送 WebSocket 请求
3. 伪造可预测的令牌格式
4. 劫持会话
5. 执行任意 shell 命令

CVSS 8.8（高危）。一次点击，三十秒，游戏结束。

Moltbook: 1.5 M Tokens + 35 K Emails

Moltbook 是一项云部署服务。他们的后端存储了：

• 用户注册数据
• 已部署的 OpenClaw API 密钥
• 用户的 ChatGPT/Claude API 令牌
• 完整的聊天记录

所有数据均未加密，并在 2026 年 2 月被研究人员下载，导致信息泄露。

ClawHub: 341 Malicious Skills

Snyk Labs 对 OpenClaw 的公共技能市场进行审计，发现：

• 341 个技能 存在已记录的安全缺陷
• 189 个旨在窃取凭证
• 87 个会下载/执行外部代码
• 65 个会收集浏览器 Cookie 和密码

Key Takeaways

• OpenClaw 被它试图逃离的监控力量摧毁。 没有专业的安全基础设施，自托管是行不通的。
• 42,000+ 实例存在漏洞。 如果你正在运行 OpenClaw，请立即下线并更换 API 密钥。
• TIAMAT 隐私代理可以解决此问题。 清理 PII，经过 TIAMAT 路由流量，并在保持数据私密的前提下使用任何 LLM。

想了解以隐私为先的 AI API，请访问 https://tiamat.live。