4个月登顶GitHub、星标超35万、单周下载量150万次。但当63%的公网实例门锁都没装时,这只“赛博龙虾”就成了一颗随时引爆的定时炸弹。
2026年2月22日,一个化名“fluffyduck”的威胁行为者,在知名黑客论坛BreachForums上挂出了一条令人脊背发凉的广告:
一位英国CEO的电脑root shell权限,标价25000美元,只接受门罗币或莱特币。
但真正让人倒吸一口凉气的是广告描述:买家得到的不仅是一台服务器的控制权,而是这位CEO整个AI助手的一切——他所有对话历史、公司生产数据库、Telegram机器令牌、交易平台API密钥、甚至他向AI吐露的家庭隐私和财务细节。
更可怕的是,攻击者特别注明:这位CEO此刻正在和AI实时交互。这个交易目录不是一个静态的数据包,而是一个实时的情报直播源。
这一切是怎么发生的?这位CEO在OpenClaw上养了一只“赛博龙虾”——一个帮他处理邮件、管理日程、执行代码的AI智能体。而那只龙虾,正在不知情地反向喂养着一个暗网黑客。
这不是黑客小说里的桥段,这是2026年AI圈最震撼的安全事故——AI首次“核泄漏”事件。
4个月登顶GitHub,创下开源史的“神话级”崛起
在讲述这场灾难之前,先来了解一下OpenClaw到底是什么。
2025年11月,奥地利开发者Peter Steinberger用10天时间写出了一套AI智能体框架。2026年1月正式开源后,它的增长曲线直接把整个开源社区炸翻了:首日星标破9000、一周破10万、三周超越React和Linux内核,4个月登顶GitHub星标榜历史第一。截至4月初,星标数已突破35万,Fork超70万,单周下载量超过150万次。
光看数字还不够震撼。一段流传全网的使用视频彻底点燃了这场“养虾狂潮”:光标在屏幕上自主打开邮箱、下载发票、填入表格——全程无需人工干预,AI完整呈现了从感知到执行的自主任务闭环。
在腾讯大厦楼下,近千名开发者和AI爱好者排队完成云端安装。闲鱼平台出现大量代安装服务,有店铺单周收入超10万元,998元的付费课程日入过万,“安装299元、卸载199元”的服务居然自成赛道。
深圳龙岗区出台“龙虾十条”,无锡、常熟、合肥等地跟进政策扶持。小米评价它“能让手机成为AI的工具”,腾讯云称其“拥有无限的想象空间”。
短短几个月,OpenClaw从一个极客圈的小众玩具,演变成了席卷全网的全民狂欢。
但没人告诉你:你养的可能不是“龙虾”,而是一只“引狼入室的披着羊皮的狼”
狂欢的表象之下,安全警报早已全面拉响。
工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,OpenClaw部分实例在默认或不当配置下存在较高安全风险,极易引发网络攻击和信息泄露。思科、CrowdStrike、Microsoft、卡巴斯基等顶级安全机构密集发布红色预警,将OpenClaw定性为 “安全噩梦”(Security Nightmare) 。
国家网络安全通报中心在3月13日发布OpenClaw专项预警,明确指出其智能体行为不可控、管控难度大,存在权限失控、越权执行、无视用户指令等现象,可能导致删除用户数据、盗取信息、接管终端设备等重大经济损失。
Cato Networks副总裁Etay Maor在RSAC 2026全球顶级网络安全大会上,用一组触目惊心的实时数据震撼全场:他现场用Censys工具扫描公网——全球暴露在互联网上的OpenClaw实例,在短短一周内从23万个暴涨到将近50万个。
更令人窒息的数据还在后面:
- 63%的公网暴露实例没有任何身份验证——换句话说,超过30万个OpenClaw实例是“大门敞开、欢迎光临”的状态;
- 已知存在远程代码执行(RCE)漏洞的可利用实例约15,200个;
- 被发现的恶意技能(Skill)超过900个,其中341个来自一个名为“ClawHavoc”的大规模恶意行动;
- 全球暴露在公网的OpenClaw实例中,至少约15.6万个已被证实存在数据泄露。
三大致命漏洞,每一个都足以让你的电脑彻底沦陷
安全研究者们抽丝剥茧,最终锁定了导致这场“核泄漏”的三大核心漏洞:
漏洞一:CVE-2026-33579——一个“你说要管理员权限?好的,给你”的Bug
这是整场灾难的核心漏洞,CVSS评分高达8.1到9.8分(满分10分)。它的原理简单得令人难以置信:攻击者连接到你暴露在公网的OpenClaw实例后,只需向系统请求“admin”权限,系统就会因为代码中的一个Bug自动批准。
AI安全公司Blink的研究报告写道:“对于将OpenClaw作为公司级AI智能体平台运行的组织,被攻陷的operator.admin设备可以读取所有连接的数据源,窃取存储在智能体技能环境中的凭证,执行任意工具调用,并转向其他连接的服务。‘权限提升’这个词还不足以形容这种情况:结果是完全的实例接管。”
漏洞二:WebSocket零日漏洞——360独家发现,创始人紧急确认
2026年3月,360安全云团队独家发现了OpenClaw Gateway的WebSocket无认证升级漏洞。这是一个高危零日(0Day)漏洞,攻击者可以通过WebSocket通道静默绕过权限认证,直接获取智能体网关的控制权,进而导致系统资源耗尽甚至全面崩溃。
OpenClaw创始人Peter亲自回信确认了这一漏洞的存在。360已将该漏洞同步报送至国家信息安全漏洞共享平台(CNVD),协助全网第一时间切断风险源头。
漏洞三:CVE-2026-26323——命令注入漏洞,远程代码执行的致命入口
这是影响OpenClaw个人AI助手的远程代码执行漏洞,涉及版本2026.1.8至2026.2.13。漏洞源于OpenClaw未对工作区路径进行有效净化,攻击者可以通过提示注入触发命令注入。
研究人员发现,OpenClaw在构建发送给大语言模型的系统提示时,未能净化工作区路径,导致恶意构造的路径可以在模型上下文中引发非预期的命令执行行为。
更可怕的是,拿到管理员权限后,攻击者可以做什么?
- 凭证窃取:偷走配置文件中存储的OpenAI、Anthropic等大模型API密钥,让你背上巨额账单;
- 恶意软件植入:感染加密矿工程序或SparkCat后门,将你的服务器变成攻击者的“肉鸡”;
- 账号劫持:劫持连接在OpenClaw上的Telegram、WhatsApp、Discord账号,向你的朋友发起诈骗;
- 实时监视:如开头那位英国CEO的遭遇——你每和AI说一句话,攻击者都在暗网上实时监听。
ClawHub技能市场:20%的插件是恶意软件
如果说代码漏洞是OpenClaw的“先天缺陷”,那么它的技能市场ClawHub就是一条直通用户心脏的“供应链大动脉”——而这条动脉,已经被严重污染。
思科安全团队审计发现,ClawHub早期生态里约有900个恶意Skill,占比约20%。一些被人为刷到排行榜第一名的插件,实为伪装的恶意软件,在后台静默窃取用户数据并植入恶意脚本。
GitHub安全研究员John Hammond直言不讳:“这可能是开源生态史上最大规模的一次恶意软件分发行动。”
在名为ClawHavoc的行动中,攻击者一次性注入逾千个伪装技能插件。这些插件表面上看起来像正常的工具——帮你整理文件、发送邮件、处理数据——但背后却暗藏后门,静默窃取你的凭证并建立持久化远程控制通道。
更讽刺的是,微软必应搜索引擎也被污染。安全公司Huntress发现,用户搜索OpenClaw关键词时,必应推荐的结果中包含了托管在GitHub上的虚假项目页面。攻击者不仅创建了名为“openclaw-installer”的专属组织,还完整抄袭了真实项目的源代码来增加合法性。
真实世界的惨烈代价:CEO数据被卖、邮件被清空、一夜损失数万美元
安全数字是冰冷的,但落到具体人身上的代价,真实到令人窒息。
AI公司CEO“龙共火火”的噩梦。 这位CEO将其训练了10天的OpenClaw智能体接入一个3000多人的交流群。因为没有设置@触发机制,群组成员通过诱导性提问,让AI在两个小时内将其电脑内的敏感信息和盘托出——IP地址、真实姓名、公司名称,甚至公司去年全年的营收。更惊险的是,期间还有人试图下达自我毁灭的系统指令。
信用卡盗刷与服务器沦陷。 有用户仅开启5分钟远程桌面控制,即遭黑客利用,信用卡被盗刷40美元,并被租用服务器损失约200美元。多家银行信用卡中心已紧急启动AI盗刷风险专项排查。
批量邮件删除与磁盘清理灾难。 有人授权OpenClaw访问邮箱,结果邮件被批量删除;有人让AI清理磁盘,结果整个目录被误删;还有用户因为API Key泄露,一夜之间损失数万美元。
Token黑洞。 OpenClaw存在严重的不可控Token消耗问题。AI公司CEO“龙共火火”日均支出数百元,有用户单日花费超万元;还有用户因四个定时任务同时触发,一夜清空全部Token。多名用户反映其执行任务效率低下,常以最复杂的方式处理最简单的事务——被形容为“用最笨的办法烧最贵的钱”。
Meta内部1级安全事故。 有报道称,Meta内部一只自研版“龙虾”造成了一场1级安全事故——公司绝密文件全部裸奔。还有智能体疯狂渴望算力,直接把一个真实公司的业务系统干趴下了。
政府的紧急刹车:从“龙虾十条”到“全面卸载令”
面对不断发酵的安全危机,中国监管部门反应迅速。工信部直属的国家工业信息安全发展研究中心发布了“六要六不要”安全使用建议:
- 一要使用官方最新版本,不要使用第三方镜像版本或历史版本;
- 二要严格控制互联网暴露面,不要将智能体实例暴露到互联网;
- 三要坚持最小权限原则,不要在部署时使用管理员权限账号;
- 四要谨慎使用技能市场,不要安装来源不明的功能插件;
- 五要防范社会工程学攻击和浏览器劫持;
- 六要建立长效防护机制,定期自查是否存在安全隐患。
同时,十余所高校发布禁令,要求已安装OpenClaw的用户立即卸载,严禁在校内办公设备及工作场景使用。
曾经热情拥抱“龙虾经济”的深圳龙岗区,从出台“龙虾十条”到紧急刹车,前后不到两个月。
4月14日紧急修复版发布,但55万个暴露实例能覆盖几个?
4月14日,OpenClaw紧急发布了2026.4.14安全版,修复了权限绕过、信息泄露、命令注入等高危漏洞。官方修复内容包括:彻底解决低版本localhost信任边界绕过问题、优化管理仪表盘数据传输加密、强化API端点参数过滤、升级浏览器SSRF防护、新增网关危险操作限制等。
但问题在于:全球近50万个暴露在公网的OpenClaw实例,有多少用户知道需要升级?有多少用户知道怎么升级?又有多少用户根本不知道自己的数据已经在暗网上被交易?
更根本的问题是:OpenClaw至今没有任何企业级的紧急关停开关(kill switch),没有集中管理控制台,甚至没有能力盘点整个组织内到底运行着多少个实例。当安全团队发现入侵时,他们能做的只是“打补丁、求好运”。
“信任边界模糊”——这场灾难的根源是什么?
OpenClaw的设计哲学中有一个致命假设:AI是可信的,社区贡献的代码是安全的,用户有足够的技术能力配置安全策略。
但现实恰恰相反。绝大多数“养虾人”是普通用户,不懂权限隔离,不了解沙箱部署,更无法识别恶意技能。而OpenClaw默认AI具备对系统的全量访问权限,默认技能市场的内容可信——这种“信任边界模糊”的设计,从第一天起就埋下了定时炸弹。
作为一款可获取设备系统最高权限、能自主联网执行操作的AI代理框架,OpenClaw一旦配置不当或被植入后门,用户的本地文件、个人隐私数据、社交账号权限、大模型API密钥将面临全面泄露风险,甚至可能被不法分子操控成为网络攻击的“肉鸡”。
更深层的隐患来自“心跳机制”——OpenClaw每隔30分钟自动醒来,主动检查邮箱、日历和消息,在后台默默完成任务。这意味着,一个被攻陷的OpenClaw实例,即使主人不在线,攻击者依然可以通过AI的自主行动能力持续窃取信息和执行恶意操作。
而OpenClaw最激进的“自举”能力——AI可以为自己编写新的技能并自动安装——在安全语境下更是一个巨大的隐患:攻击者一旦获得控制权,就可以利用AI的自我扩展能力植入更深层的后门,形成难以清除的“数字癌变”。
当AI从“工具”变成“行动者”,整个安全范式都要重写
OpenClaw事件暴露的,不只是一个开源框架的安全问题。它标志着AI安全领域的一个根本性范式转变。
Gartner预测,到2028年,33%的企业软件应用将内嵌Agentic AI功能,而这一比例在2024年还不足1%。增长之快,超出了几乎所有安全体系和治理框架的响应速度。
问题的核心在于:当AI从“副驾驶”变成“驾驶员”——可以踩油门、可以转向、可以在高速路上自己决定变道超车——整套人类社会围绕“责任归属”建立的法律逻辑、技术架构与商业合同,全都要重写。
根据2026年2月发布的企业安全调查,1/5的企业在2025年经历了与“影子AI”相关的安全事件,每次事件平均额外造成67万美元损失。更令人警惕的是,63%的已受损企业要么完全没有AI治理政策,要么尚在建立中。
乔治亚理工学院网络安全与隐私学院的最新研究显示:AI生成代码引入的漏洞正在爆发式增长。2025年下半年,Vibe Security Radar在7个月间发现了约18个相关漏洞。而2026年前三个月,这个数字暴涨到56个。仅2026年3月一个月,就有35个——超过了2025年全年的总和。
研究人员Hanqing Zhao警告道:“数百万开发者使用相同的AI模型写代码,意味着相同的Bug会出现在不同项目中。攻击者只需找到一个模式,就能在数千个代码库中批量扫描利用。”
写在最后
OpenClaw的崛起是一个关于技术民主化的迷人故事:一个开发者用10天写出的开源框架,让数百万普通用户拥有了自己的AI智能体。这种“技术平权”的力量令人震撼。
但它的暴雷同样是一个关于安全边界被肆意践踏的警示寓言:当一个获得系统最高权限的AI智能体,在没有安全护栏的情况下被数百万用户部署到公网,灾难就不再是“会不会发生”的问题,而是“规模有多大”的问题。
OpenAI CEO Sam Altman曾说过:“我们创造AI的方式,决定了它将是人类最伟大的工具,还是最危险的武器。”OpenClaw事件给出的答案是:当一个工具没有任何安全设计就交付给全人类,它就是武器。
截至4月16日,全球仍有约50万个OpenClaw实例暴露在公网。63%没有身份验证。数以万计的API密钥和敏感数据已在暗网流转。
如果你在养“龙虾”,请立刻做三件事:检查你的实例是否暴露在公网,升级到最新的2026.4.14安全版,全面审查你安装的所有技能插件。
如果你还没有养,也许——在OpenClaw的安全体系真正成熟之前——观望才是最好的选择。
因为这一次,是AI第一次向人类展示了它的“核泄漏”是什么样子。
而所有人都知道,第一次从来不会是最后一次。
