工信部预警!25 万 OpenClaw 裸奔背后,AiPy 的本地安全逻辑有多香

今天你AiPy了吗
0 阅读5分钟

GitHub 26万星,超越React,史上增长最快的开源项目——OpenClaw(小龙虾)最近火了。但与此同时,工信部发布紧急预警:25万+实例公网裸奔,API密钥泄露、远程代码执行……在这场AI安全风暴中,国产开源AI智能体AiPy(爱派)凭借"本地优先、默认安全"的设计理念,成为用户的安全避风港。

25万"小龙虾"公网裸奔,工信部紧急预警

2026年2月5日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》。

预警指出:

OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。

这不是危言耸听。

一个名为"OpenClaw Exposure Watchboard"的网站,打开openclaw.allegro.earth,目前已有250,586个OpenClaw实例暴露在公网上。这个数字在一个月前还只有1,000。

IP地址、云服务商、所在国家、是否泄露凭证……每一条都是活生生的"小龙虾",赤裸裸地暴露在互联网的汪洋大海中。

SecurityScorecard的STRIKE团队在2月中旬发布了一份报告,数据变化之快令人瞠目:上午撰写时还是4万,下午发布时已飙升至13.5万——短短几个小时,暴露实例翻了3倍。

而截至今天,Allegro团队的最新扫描结果已突破25万大关。这种指数级增长,本身就是一场正在发生的网络安全灾难。

📊 安全触目惊心的数据:

63%的公网暴露实例存在可利用漏洞

12,812个实例可被远程代码执行直接接管

53,000+实例IP曾出现在已知数据泄露事件中

国内IP占比相当大,阿里云、腾讯云、百度云实例密密麻麻

为什么"小龙虾"会裸奔?

OpenClaw本身是一款优秀的开源AI智能体项目,通过整合多渠道通信能力与大语言模型,构建具备持久记忆、主动执行能力的定制化AI助手。

但问题出在哪里?

  1. 默认配置的安全隐患

旧版OpenClaw默认绑定0.0.0.0:18789,监听所有网络接口,包括公网。你装上它,什么都不改,它就已经对整个互联网敞开了大门。

  1. 信任边界模糊

OpenClaw具备自身持续运行、自主决策、调用系统和外部资源等特性。在缺乏有效权限控制、审计机制和安全加固的情况下,可能因指令诱导、配置缺陷或被恶意接管,执行越权操作。

  1. 明文存储敏感信息

OpenClaw的配置文件里存着各种API Key和OAuth Token,全部明文保存。只要有人能访问到你的实例,这些东西唾手可得。

有个心大的网友直接把OpenClaw的配置文件提交到GitHub,第二天发现他的API Key被狂刷,账单直接爆了。

安全对比——AiPy如何做到"稳如泰山"

说到这里,不得不提国产AI智能体工具——AiPy(爱派)。

同样是AI智能体,同样支持本地部署,为什么AiPy能避免这些安全陷阱?

🔒 AiPy的核心安全设计:

  1. 本地优先架构

所有数据处理和任务执行都在用户本地环境中完成

不强制要求公网暴露,默认就是"关门干活"

数据不出本地,隐私天然保护

  1. 代码即代理(Code is Agent)范式

不依赖预定义工具链,动态生成Python代码执行

执行过程透明可控,用户可随时审查

不存在"黑箱操作"带来的安全隐患

  1. 成本可控

仅支付大模型API调用费用,无隐藏成本

社区持续优化,安全漏洞快速响应

对比一下:

选择AI工具,安全是底线

微软Defender安全研究团队的通报这样写道:OpenClaw应该被当作"不受信任的代码执行"来对待,不适合在个人或企业工作站上运行。

Meta直接禁止员工在公司设备上使用OpenClaw。

OpenClaw的项目维护者也说:"如果你连命令行都搞不明白,这个项目对你来说太危险了。"

⚠️ 这不是说OpenClaw不好——它是一款技术先进、功能强大的开源项目,只是对用户的安全意识和配置能力有较高要求。

但对于大多数普通用户和中小企业来说,选择一款默认安全、开箱即用的AI智能体工具,显然是更明智的选择。

AiPy——让AI安全地为你干活

AiPy(爱派)由知道创宇推出,是一款融合大模型LLM与Python生态的AI智能体。

✅ 核心能力:

自然语言到代码转换:说出需求,自动生成Python代码执行

本地文件操作:数据分析、文档处理、批量重命名……一句话搞定

多模型支持:兼容OpenAI、Claude、国产大模型等多种LLM

完全本地化:数据不出本地,隐私有保障

💼 适用场景:

📊 数据分析师:自动化数据清洗、可视化报表生成

📝 内容创作者:批量文章处理、格式转换

💼 办公人员:Excel自动化、文档整理

🔧 开发者:代码生成、调试辅助

AI时代,效率是刚需,但安全是底线。

OpenClaw的"裸奔"事件给我们敲响了警钟:再强大的工具,如果安全设计存在缺陷,都可能成为黑客的"后门"。

AiPy用"本地优先、代码透明、默认安全"的设计理念,为AI智能体树立了安全标杆。

选择AI工具,不仅要看它能做什么,更要看它能不能保护你的数据安全。

avatar
文章
阅读
粉丝