超58万个OpenClaw实例暴露公网,却无企业级紧急关停开关,智能体治理全靠打补丁
背景:OpenClaw的迅速崛起
OpenClaw,由奥地利软件工程师彼得·施泰因贝格尔开发,是一款开源AI智能体运行环境,能够在本地或云端自主执行任务,如文件管理、邮件收发、数据处理等。自2025年底在GitHub上线以来,迅速获得全球开发者青睐,短短两个多月内便收获超过30万颗星标。随着其功能的扩展和社区活跃度的提升,OpenClaw成为AI智能体领域的重要项目之一。
然而,OpenClaw的快速普及也带来了安全隐患。近期,多个网络安全平台和研究者发现,全球有超过58万个OpenClaw实例暴露在公网,其中部分存在严重的安全漏洞,包括未启用身份验证、敏感凭证泄露等问题。
安全问题:公网暴露与认证缺失
据“OpenClaw Exposure Watchboard”公开监控页面显示,全球已有超过22万个OpenClaw实例暴露于公网,涵盖美国、新加坡、中国大陆等多个地区。每个记录包含公网IP、端口(多数为18789)、是否启用认证、是否在线、是否存在凭证泄露等信息。
值得关注的是:
- 超过9%的实例未启用身份验证(Auth Required为空);
- 一些实例在“Has Leaked Creds”一栏被标记为“Leaked”(红色),表明可能存在明文凭证或API Key暴露;
- 这些实例多数托管在腾讯、阿里、华为、百度、甲骨文、Hostinger等主流云平台,说明其部署环境并非仅限于个人开发者,更多涉及企业生产系统。
由于OpenClaw智能体具备调用外部工具、访问数据库、执行代码等能力,若未加认证对外开放,极可能被恶意利用,造成数据泄露、权限滥用甚至远程操控业务系统。
漏洞频发:历史与近期安全记录
根据公开资料,OpenClaw历史上已披露漏洞多达258个。近期检测到的82个漏洞中:
- 超危漏洞:12个
- 高危漏洞:21个
- 中危漏洞:47个
- 低危漏洞:2个
主要漏洞类型包括命令注入、代码注入、路径遍历、访问控制缺陷等,这些都可能被攻击者利用以远程执行恶意代码或访问受限资源。
更令人担忧的是,国家网安中心的预警指出:
- 全球超27万个OpenClaw实例暴露公网;
- 其中近9%存在高危漏洞;
- 恶意插件投毒率高达10.8%。
这些数据表明,OpenClaw的安全问题并非个例,而是普遍存在,且攻击面正在扩大。
安全治理困境:无紧急关停机制,依赖补丁修复
OpenClaw的设计初衷是提供一个灵活、可扩展的AI智能体运行平台,但其在安全治理方面存在明显短板。目前系统中缺乏企业级紧急关停开关,一旦遭遇安全事件,无法通过统一控制台快速切断所有暴露的实例。
这意味着:
- 企业若部署了OpenClaw,必须依赖手动更新与补丁修复;
- 没有集中化的安全管理机制来应对大规模的突发风险;
- 安全修复高度依赖开发者的安全意识和技术能力。
此外,OpenClaw运行环境复杂,对非技术用户不友好,导致很多开发者在本地测试成功后直接部署到云端,未进行充分的安全加固,进一步加剧了“裸奔部署”现象。
潜在威胁与行业反思
OpenClaw的流行凸显了AI智能体从“对话型”向“行动型”演进的趋势,但也暴露出当前智能体安全防护体系的不成熟。网络安全专家指出,这类智能体具备以下高风险特征:
- 能够自主执行任务的自动化系统;
- 可能被隐藏恶意指令操控的信息入口;
- 对用户设备拥有高权限访问能力。
一旦被攻击者利用,可能导致系统权限被接管、敏感数据外泄,甚至影响企业核心业务流程。美国《福布斯》、TechCrunch等媒体也相继发文提醒用户谨慎部署,强调这类工具应限制在技术团队中使用,普通用户尚不具备安全配置能力。
OpenClaw开发者施泰因贝格尔本人也承认,安全问题如“提示注入攻击”仍是行业尚未解决的难题,且其运行环境需要仔细配置才能保障安全。
未来挑战:安全与创新需并重
OpenClaw的广泛部署和快速演化,反映了AI智能体技术的巨大潜力。但其当前暴露的安全问题也敲响了警钟。如何在技术推广与安全治理之间找到平衡,是开发者、企业和监管机构必须共同面对的挑战。
建议用户:
- 立即检查公网部署的OpenClaw实例;
- 启用身份验证机制,关闭不必要的公网访问;
- 及时更新版本并应用官方发布的安全补丁;
- 避免在非技术团队或敏感生产环境中使用未加固的部署。
随着AI智能体技术的进一步发展,建立标准化的安全框架、引入统一的关停机制和身份认证体系,将成为推动其合规应用的关键。