国家队点名 OpenClaw:别让你的 AI 助理变成黑客的跳板
摘要:OpenClaw(小龙虾)火了,风险也来了。昨天,国家互联网应急中心联合工信部发布高风险预警。全球 4 万实例裸奔,WebSocket 劫持、恶意插件成重灾区。你的 AI 助手安全吗?本文为你拆解三大风险并附送保姆级自救指南。
OpenClaw(也就是“小龙虾”)最近确实火。能操控电脑、写代码、管服务器,GitHub 上星标涨得飞快。很多开发者图省事,直接在云服务器上一键部署。
然后就出事了。
昨天(3月10日),国家互联网应急中心(CNCERT) 和 工信部 联合发了高风险预警。与此同时,安全圈也在讨论——全球有几万个 OpenClaw 实例在公网上“裸奔”,等着被黑。
核心问题很简单:权限太大,防护太少
OpenClaw 能读文件、读环境变量(里面通常有 API Key)、执行命令。这本来是它的卖点,但如果你把它挂在公网上,还没有强认证,这就成了它的死穴。
国外安全研究人员发现,公网上暴露的 42,000 多个实例里,93% 都有认证绕过漏洞。
主要风险有三个
1. WebSocket 劫持 (CVE-2026-25253)
这是最严重的。黑客诱导你访问一个恶意网页,就能通过 WebSocket 接管你的 OpenClaw。不需要你输密码,甚至不需要你点确认。一旦接管,你的服务器就是他的了。
2. 供应链投毒
OpenClaw 的插件市场(ClawHub)里混进了不少坏东西。审计发现,2,800 多个插件里有 340 多个包含恶意代码,比如键盘记录器。
3. 提示词注入
这属于 AI 的老毛病了。通过特殊的提示词,攻击者能套出 OpenClaw 本该保密的系统密码,或者诱导它删除文件。
🛠️ 保姆级自救指南:只需四步,把门焊死
光说"注意安全"没用,这里直接给你操作作业,请立刻对照检查:
第一步:自查(你是"裸奔"状态吗?)
在你的服务器终端里运行这行命令:
netstat -tuln | grep 18789
(注:18789 是 OpenClaw 默认端口,如果你改过端口请换成你的)
- 🔴 危险信号:如果看到
0.0.0.0:18789或:::18789这意味着全网任何人都能连上你的 AI,赶紧往下看! - 🟢 安全信号:如果看到
127.0.0.1:18789恭喜,目前只有本机能访问。
第二步:立刻关门(Docker 用户必看)
如果你是用 Docker 或 Docker Compose 启动的,请立刻修改端口映射配置。
❌ 错误写法(默认配置):
ports:
- "18789:18789" # 这会把端口暴露给全世界
✅ 正确写法(锁死在本机):
ports:
- "127.0.0.1:18789:18789" # 强制只允许服务器本机访问
改完后,记得重启容器:docker-compose up -d
第三步:加把锁(配置强密码)
很多人的 OpenClaw 默认是没有密码的。请在启动环境变量中强制加上密码验证:
在 docker-compose.yml 的 environment 里加上:
environment:
- OPENCLAW_GATEWAY_PASSWORD=你的超长复杂密码 # 别用123456
或者在启动命令里加上 -e OPENCLAW_GATEWAY_PASSWORD="..."。
第四步:怎么远程访问?(使用 SSH 隧道)
"锁死在本机后,我在家怎么连服务器上的 OpenClaw?" 千万别直接开防火墙端口! 推荐用 SSH 隧道,既安全又免费。
在你的本地电脑(不是服务器)上运行:
ssh -L 18789:localhost:18789 root@你的服务器IP
输入服务器密码连上后,保持这个窗口不要关。
👉 现在,在本地浏览器打开 http://localhost:18789 就能用了。流量全程加密,黑客根本扫不到你。
第五步:别偷懒,去升级
官方早在 v2026.2.25 版本中就修复了 WebSocket 劫持漏洞,目前最新版本 v2026.3.8 已包含所有安全补丁。
docker pull openclaw/openclaw:latest
看到这行字的时候,就去更了吧。
最后说一句
大家用 AI 都是为了提效,但别为了图省事把安全门给拆了。能干活的助手和能开门的内鬼,往往就在一念之间。
参考链接: