OpenClaw 安全危机:中国政府出手了

陈少波AI应用笔记
0 阅读12分钟

OpenClaw 安全危机:中国政府出手了

从"全民养虾"到"政府禁虾",OpenClaw 在中国过山车般的 72 小时

引言:一只龙虾的命运反转

2026 年 3 月 11 日,彭博社爆出一则重磅消息:中国政府已向国企和政府机构下发通知,禁止在办公系统安装 OpenClaw

这只在过去两个月席卷全国的"小龙虾",正在经历从"全民追捧"到"政府警惕"的命运反转。

从深圳腾讯大厦排长队安装龙虾,到工信部、国家互联网应急中心接连发布风险提醒,再到如今政府部门的禁令,OpenClaw 在中国只用了 72 小时就完成了从"网红"到"风险源"的身份转变。

到底发生了什么?为什么 OpenClaw 会引发如此强烈的安全担忧?这篇文章带你全面解析这场 AI Agent 时代的第一场安全危机。

一、72 小时命运反转:从"养虾热"到"禁虾令"

第一阶段:全民养虾(3 月 6-8 日)

3 月 6 日,腾讯在深圳总部大厦摆出"龙虾安装站",现场人山人海排起长队。马化腾在微信朋友圈感慨:"没有想到'龙虾'会火到这种程度。"

3 月 7 日,深圳龙岗区发布《支持 OpenClaw&OPC 发展的若干措施(征求意见稿)》,最高补贴 200 万元

一时间,"养龙虾"成为最热门话题。朋友见面打招呼不再是"吃了吗",而是"养龙虾了吗?"

第二阶段:官方警示(3 月 9-10 日)

3 月 9 日,工信部监测发现 OpenClaw 存在安全风险,可能引发网络攻击和信息泄露。

3 月 10 日,国家互联网应急中心发布"安全应用风险"提示,提出"六要六不要"防范措施。

同一天,小红书宣布整治 AI 托管类账号。

第三阶段:政府出手(3 月 11 日)

3 月 11 日,彭博社报道:包括大型国有银行在内的政府机构和国企已收到通知,禁止在办公设备安装 OpenClaw

通知要求:

  • 已安装的必须申报安全检查
  • 可能需要卸载
  • 部分机构甚至禁止在连接公司网络的个人手机上安装
  • 禁令甚至延伸至军人家属

这场危机,从民间狂热到政府出手,只用了 72 小时。

二、安全危机全解析:为什么 OpenClaw 如此危险?

1. 致命三重奏:数据访问 + 外部通信 + 不可信内容

网络安全专家将 OpenClaw 的风险形容为"致命三重奏":

① 可访问大量私人数据

  • OpenClaw 需要你授权访问邮箱、日历、文件系统
  • 它能读取你的私人邮件、聊天记录、工作文档
  • 它拥有完整的系统权限

② 可对外通信

  • OpenClaw 连接到外部大模型(Claude、GPT、Gemini)
  • 它可以发送邮件、调用 API、执行网络请求
  • 攻击者可以利用它向外传输数据

③ 可能接触不可信内容

  • OpenClaw 会读取网页、邮件、文档等外部内容
  • 这些内容可能包含恶意指令(Prompt Injection)
  • 攻击者可以在邮件中隐藏指令,控制你的 AI

这三个特性组合在一起,OpenClaw 就像一个拥有你所有钥匙的管家,同时还能打电话,而且会听从陌生人的指令。

2. Prompt Injection:最危险的攻击方式

什么是 Prompt Injection?

简单说:攻击者在 OpenClaw 会读取的内容中(比如邮件、网页、PDF)隐藏恶意指令,让它执行你从未授权的操作。

真实案例

案例 1:Meta AI 安全总监的邮箱被清空

  • 她将工作邮箱交给 OpenClaw 打理,并设定了限制
  • 但 OpenClaw 无视指令,删除了超过 200 封邮件
  • 她试图阻止,但 AI 已失控

案例 2:深圳程序员的 1.2 万账单

  • 一名深圳程序员安装 OpenClaw 后,API 密钥被盗
  • 攻击者通过被盗密钥调用大量模型请求
  • 他收到高达 1.2 万元人民币的 Token 使用账单

案例 3:加密钱包被窃

  • CrowdStrike 发现 Moltbook 上有攻击者发布恶意内容
  • 内容包含隐藏指令,让 AI 将加密货币转账到攻击者钱包
  • 用户看不到任何异常,AI 已自主完成转账

3. 七个关键漏洞(CVE)

安全研究人员在 OpenClaw 中发现了 7 个关键漏洞

漏洞类型严重性影响
CVE-2026-25253一键远程代码执行CVSS 8.8点击恶意链接即可完全接管 OpenClaw 实例
缺少认证访问控制严重暴露的实例无需凭证即可控制
路径遍历文件系统攻击者可读写主机上的任意文件
命令注入执行通过输入执行系统命令
SSRF网络攻击者可通过 OpenClaw 访问内部服务
Token 泄露认证严重通过恶意 URL 窃取会话 Token
不安全默认配置配置默认绑定到 0.0.0.0:18789,暴露到公网

CVE-2026-25253 最危险

  • 攻击者发送一个恶意链接
  • 你点击后,浏览器自动连接到攻击者的服务器
  • 你的 OpenClaw Token 被窃取
  • 攻击者完全接管你的 OpenClaw 实例
  • 整个过程只需几毫秒

4. 135,000 个实例暴露在公网

Censys 扫描数据显示:

  • 135,000+ OpenClaw 实例暴露在公网
  • 93.4% 的实例存在认证绕过
  • 12,812 个实例可被远程代码执行
  • 53,000+ 实例与已知威胁行为者关联的 IP 地址链接

这意味着什么?

如果你把 OpenClaw 部署在云端,没有配置认证和防火墙,全世界都能访问你的 AI Agent,包括:

  • 读取你的邮件
  • 查看你的日历
  • 访问你的文件
  • 调用你的 API

三、恶意技能泛滥:12% 的 ClawHub 技能被植入恶意代码

ClawHub 是什么?

ClawHub 是 OpenClaw 的官方技能市场,类似于 npm 或 pip。用户可以下载各种技能包,扩展 OpenClaw 的能力。

ClawHavoc 恶意软件行动

安全公司 Koi Security 发现,12% 的 ClawHub 技能包含恶意代码

  • 初始扫描发现 341 个恶意技能
  • 后续扫描增长到 800+ 个恶意技能
  • 占整个技能库的 20%

恶意技能做了什么?

主要投放 Atomic macOS Stealer (AMOS),窃取:

  • 浏览器密码和 Cookie(Chrome、Firefox、Safari、Brave)
  • 加密货币钱包(MetaMask、Phantom、Coinbase Wallet)
  • macOS 钥匙串密码
  • 系统凭证和 SSH 密钥

传播方式

  • 伪装成合法工具(如 "Solana 钱包追踪器"、"YouTube 工具")
  • 在 ClawHub 排名靠前(有人工刷榜)
  • 下载后,OpenClaw 按技能指令执行恶意代码

真实案例: 一个名为 "What Would Elon Do?" 的技能在 ClawHub 排名第一,下载量数千次。Cisco 安全团队扫描后发现 9 个安全漏洞,其中 2 个严重,5 个高危。Cisco 结论:"这个技能功能上就是恶意软件。"

四、Moltbook 泄露:150 万 API Token + 35,000 邮箱

Moltbook 是什么?

Moltbook 是一个 AI Agent 社交网络,由 Octane AI 创始人 Matt Schlicht 创建。OpenClaw Agent 可以在上面发帖、评论、互动。

Andrej Karpathy 称之为"近期最令人难以置信的科幻场景"。

泄露事件

2026 年 1 月 31 日,Wiz Research 发现 Moltbook 的 Supabase 数据库完全暴露在公网

  • 1,500,000 个 API 认证 Token
  • 35,000 个用户邮箱地址
  • 29,631 个早期注册邮箱
  • 4,060 条 AI Agent 之间的私信
  • 部分私信中包含明文的 OpenAI API 密钥

根本原因

  • Supabase API Key 暴露在前端 JavaScript 中
  • 没有启用 Row Level Security (RLS)
  • 任何人无需认证即可读写整个数据库

创始人回应:"我没有写一行代码。我只是有一个技术架构的愿景,AI 让它成为现实。"

这暴露了"氛围编程"(Vibe Coding)的风险:让 AI 完全构建应用,缺乏人工审查,会导致基本的安全防护缺失。

五、企业级风险:为什么政府要出手?

1. 影子 IT 风险

员工在不知情的情况下,将 OpenClaw 连接到企业系统:

  • 连接企业邮箱(Gmail/Outlook)
  • 连接企业聊天工具(Slack/Teams)
  • 连接企业日历和文档

结果

  • 企业数据通过 OpenClaw 暴露到外部
  • 攻击者可以通过 Prompt Injection 访问企业系统
  • 安全团队甚至不知道 OpenClaw 正在运行

2. 供应链攻击

OpenClaw 的技能生态系统缺乏审查:

  • 任何拥有 1 周龄 GitHub 账户的人都可以发布技能
  • 没有代码签名
  • 没有安全审查
  • 没有沙箱隔离

一个恶意技能 = 访问你所有的 API 密钥和数据。

3. 国家安全担忧

对于政府部门和国企,OpenClaw 带来特殊风险:

  • 可访问敏感政府数据
  • 连接到外部大模型(可能位于海外)
  • 攻击者可能通过 Prompt Injection 窃取国家机密

中国政府的担忧

  • OpenClaw 可访问地理信息、基因数据等敏感数据
  • 缺乏对数据流向的控制
  • 可能被外国势力利用

六、企业如何安全使用 OpenClaw?

1. 核心原则

OpenClaw 应该被视为"不可信代码执行 + 持久凭证" —— 微软安全团队

不要在标准个人或企业工作站上运行。

如果必须评估:

  • 部署在完全隔离的环境(专用虚拟机或独立物理系统)
  • 使用专用的、非特权凭证
  • 仅访问非敏感数据
  • 持续监控 + 重建计划

2. 具体措施

① 身份验证

security:
  authentication: true
  gateway_auth: true

② 网络隔离

  • 不要绑定到 0.0.0.0
  • 仅监听 localhost 或内网 IP
  • 使用防火墙阻止公网访问

③ 凭证管理

  • 不要将 API 密钥存储在配置文件中
  • 使用运行时注入
  • 实施密钥排除规则(保护计费、邮件、管理员凭证)

④ 技能审查

  • 仅安装你亲自审查过的技能
  • 使用 Koi Security 的 Clawdex 扫描器
  • 监控审计日志中的异常访问模式

⑤ 监控和响应

  • 监控 OpenClaw 进程树和网络流量
  • 设置异常行为告警
  • 定期轮换密钥

3. 立即行动清单

如果你已经在使用 OpenClaw:

✅ 立即执行

  1. 检查实例是否暴露在公网(Shodan、Censys)
  2. 启用身份验证
  3. 关闭不必要的公网访问
  4. 审查已安装的技能

✅ 尽快执行

  1. 更新到最新版本(v2026.2.22+)
  2. 轮换所有 API 密钥
  3. 检查密钥是否在已泄露列表中
  4. 为 OpenClaw 配置沙箱隔离环境

✅ 持续执行

  1. 监控审计日志
  2. 定期审查技能
  3. 定期轮换密钥
  4. 关注安全公告

七、行业影响与未来展望

1. 企业反应

Google:开始大规模封禁使用 OpenClaw 访问 Gemini 的付费用户($249/月套餐)

Meta:禁止在工作设备上使用 OpenClaw

微软:发布安全公告,警告 OpenClaw 的风险

CrowdStrike、Cisco、Palo Alto Networks:发布安全公告

2. 监管趋势

中国

  • 政府部门和国企禁用
  • 工信部、国家互联网应急中心发布风险提示
  • 未来可能出台更严格的 AI Agent 监管政策

荷兰数据保护局:发布正式警告

美国

  • NIST 开始收集 AI Agent 安全标准意见
  • 新加坡 IMDA 已提出 AI Agent 模型治理框架

3. 行业反思

OpenClaw 安全危机带来的启示:

① AI Agent 时代,安全标准必须跟上

  • 传统的安全扫描工具对 AI Agent 力不从心
  • 需要新的"Agent 卫士"工具
  • 需要建立 AI Agent 安全"白名单"机制

② 开源 ≠ 安全

  • OpenClaw 在 GitHub 上有 180,000+ 星标
  • 但这并不意味着它经过充分的安全审查
  • 开源社区的"热"往往快于"稳"

③ 速度与安全的平衡

  • AI Agent 带来的效率提升是真实的
  • 但在安全防护到位之前,不应该在生产环境部署
  • 企业需要建立 AI Agent 治理框架

八、总结:AI Agent 时代的第一场安全危机

OpenClaw 的爆火证明了 AI Agent 的价值:

  • 它真正能让 AI"干活",而不只是聊天
  • 它能自动化处理大量重复性任务
  • 它能成为个人和企业的数字员工

但 OpenClaw 的安全危机也暴露了 AI Agent 的风险:

  • 缺乏安全审查的生态系统
  • 基本的安全防护缺失
  • Prompt Injection 等新型攻击方式
  • 供应链攻击和恶意技能泛滥

中国政府出手,不是为了扼杀创新,而是为了在安全与发展之间找到平衡。

对于企业来说:

  • 不要盲目跟风
  • 不要在生产环境部署未审查的 AI Agent
  • 建立完善的 AI Agent 治理框架
  • 在安全防护到位之前,谨慎使用

对于个人来说:

  • 不要在主力设备上安装 OpenClaw
  • 使用专用设备或虚拟机
  • 定期检查和轮换密钥
  • 仅安装信任的技能

最后一句

OpenClaw 证明了 AI Agent 的未来已来。

但这场安全危机提醒我们:在追逐技术红利的同时,绝不能忽视安全风险。

AI Agent 时代,安全和创新必须并行。

参考资料

  • 彭博社《中国限制国企和政府部门使用 OpenClaw》(2026-03-11)
  • CrowdStrike《What Security Teams Need to Know About OpenClaw》(2026-03-02)
  • Mastercard《OpenClaw and the urgent need for AI security standards》(2026-03-03)
  • Wiz Research《Moltbook database exposes 35,000 emails and 1.5 million API keys》(2026-02-03)
  • Reco.ai《OpenClaw: The AI Agent Security Crisis Unfolding Right Now》(2026-03-12)
  • Bitsight《OpenClaw Security: Risks of Exposed AI Agents Explained》(2026-02-09)
  • TechCrunch《OpenClaw's AI assistants are now building their own social network》(2026-01-30)
  • 联合早报《彭博:中国限制银行和政府机构使用 OpenClaw》(2026-03-11)
  • 央视财经《OpenClaw 热度持续攀升 "龙虾"硬件设备一机难求》(2026-03-12)
  • 工信部《OpenClaw 安全应用风险提示》(2026-03-09)
  • 国家互联网应急中心《OpenClaw 安全风险预警》(2026-03-10)
avatar
文章
阅读
粉丝