🚨 紧急预警！你的"AI员工"OpenClaw可能正在给黑客开后门？

最近，一个名叫 OpenClaw（被网友戏称为"小龙虾"）的开源AI项目火遍了全网。它就像一个不知疲倦的"AI员工"，你能用大白话指挥它操控电脑、写代码、甚至管理服务器。Github上星标狂飙，X（推特）上更是好评如潮，不少极客和开发者都把它部署在了自己的云服务器上，甚至还有"一键部署"教程满天飞。

🔥 然而，这把火烧得太旺，终于引来了国家队的"降温水"。

就在昨天（3月10日），国家互联网应急中心（CNCERT） 联合 工信部 等权威机构，罕见地发布了针对 OpenClaw 的高风险预警。与此同时，全球安全社区也炸开了锅，GitHub和X上关于OpenClaw"裸奔"导致被黑的讨论层出不穷。

这到底是怎么回事？为什么一个AI工具会变成安全噩梦？

😱 "裸奔"的代价：4万+实例在线"待宰"

OpenClaw 的强大之处在于它的权限。为了帮你干活，它需要访问文件系统、读取环境变量（往往包含各种API Key和密码）、还能执行终端命令。

想象一下，你把家里的钥匙（高权限）交给了一个陌生人（OpenClaw），然后还把这个陌生人放在了人来人往的大街上（公网暴露），甚至连门都没锁（默认弱配置/无认证）。

据国外安全研究人员在 X 上的爆料，目前全球有超过 42,000 个 OpenClaw 实例直接暴露在公网上。更可怕的是，其中 93% 竟然存在严重的认证绕过漏洞！

⚠️ 三大核心风险：你的AI可能在"反水"

根据国家互联网应急中心和安全社区的分析，OpenClaw 主要存在以下三大致命风险：

1. 👻 "鬼手"入侵：WebSocket 劫持 (CVE-2026-25253)

这是最让安全圈恐慌的漏洞。简单来说，黑客只需要诱导你访问一个恶意网页，就能通过 WebSocket 劫持你的 OpenClaw 会话。 后果？ 黑客能瞬间接管你的 AI，利用它的高权限在你的服务器上为所欲为——窃取密钥、植入木马、甚至把你的服务器变成"肉鸡"。整个过程你可能毫不知情，甚至不需要点击任何按钮（Zero-click exploit）。

2. 💊 "毒药"插件：供应链投毒

OpenClaw 拥有一个丰富的插件市场（ClawHub）。但安全审计发现，其中竟然混入了大量恶意插件。 数据触目惊心：在抽检的 2,800 多个技能插件中，有 341 个（约12%） 包含恶意代码，比如键盘记录器和凭证窃取脚本。你以为安装的是个"效率工具"，其实是把"小偷"请进了家门。

3. 🗣️ 提示词注入：AI 也会被"忽悠"

不仅是代码漏洞，AI 本身也不安全。攻击者可以通过精心设计的提示词（Prompt Injection），诱导 OpenClaw 说出它本来应该保密的系统密码，或者执行删除文件的指令。

🛡️ 如何自救？这份安全指南请收好

虽然风险很大，但工具本身是无罪的。如果你离不开 OpenClaw，请务必做好以下防护：

1. 🚫 切勿公网裸奔！ 这是最重要的一点！绝对不要把 OpenClaw 的管理端口直接暴露在公网 IP 上。

   • 推荐做法：部署在本地内网，或者使用 VPN、Tailscale 等工具构建虚拟局域网进行访问。

2. 🔒 开启强认证 不要使用默认配置。务必开启强密码认证，如果有条件，配合 MFA（多因素认证）使用。

3. 👀 审查插件来源 不要随意安装来路不明的插件。尽量只使用官方认证或经过代码审计的插件。

4. 📝 最小权限原则 不要直接用 root 用户运行 OpenClaw。给它创建一个专用的、权限受限的账户。运行在 Docker 容器中也是一个很好的隔离手段（虽然不能防住所有攻击，但能增加攻击成本）。

5. 🔄 及时更新 关注 GitHub 上的安全公告，及时升级到修复了已知漏洞（如 CVE-2026-25253）的最新版本。

结语

AI 的能力越强，风险也就越大。OpenClaw 的这次风波给所有"AI原生"应用敲响了警钟。我们在享受 AI 带来的便利时，千万别忘了把"安全锁"扣上。毕竟，我们想要的是一个能干活的"超级助手"，而不是一个会开门的"内鬼"。

---

参考链接：

1. 国家互联网应急中心发布OpenClaw安全应用风险提示
2. CVE-2026-25253: How 42,000+ OpenClaw Instances Got Pwned
3. OpenClaw Security Crisis February 2026