近期,一款名为 Clawdbot(后正式更名 OpenClaw)的 AI 工具在开发者社区乃至大众用户群体中迅速走红,这款宣称能深度操控本地电脑系统、实现邮件处理、日程管理、航班值机等全流程操作的 AI 个人助理,凭借 “聊天指令直达系统操作” 的便捷性收获了不少用户青睐。但与此同时,安全领域的专业监测数据却为这款爆红工具敲响了警钟 —— 其看似强大的功能背后,是极度脆弱的安全底座,甚至已沦为公网中极易被黑客利用的 “隐形木马”,将用户的私密数据与系统权限推向失控边缘。
作为一款将大语言模型与本地操作系统深度融合的 AI 代理系统,OpenClaw 的核心优势是把复杂的系统操作转化为简单的聊天指令,支持 Shell 脚本执行、文件读写、浏览器自动化等功能,还能通过 WhatsApp、Telegram 等社交软件远程调用。为了实现 24 小时在线的远程使用需求,不少用户会将其部署在个人电脑、服务器等设备上,但这份便捷性,却因设计缺陷和用户的不当操作,滋生了全球性的资产暴露风险。
奇安信网络空间测绘鹰图平台的最新测绘数据显示,截至监测节点,全球范围内公网可见的 OpenClaw 相关暴露资产已达 15039 个,其中美国以 5114 台暴露设备位居首位,中国则有 2990 台设备位列第二,德国、新加坡、芬兰等多国也均出现大量设备暴露情况。这些对外公开暴露访问接口的设备,如同在公网中 “裸奔”,成为黑客眼中极易突破的攻击标靶,而 OpenClaw 的安全风险,远不止简单的端口暴露这么简单,其背后存在三大致命安全隐患,层层击穿用户的安全防御。
隐患一:为求便捷人为拆除防御,公网 “裸奔” 成常态
OpenClaw 的官方默认配置本仅监听本地回环地址,在未手动修改的情况下具备基础的安全防护性,但这款工具的核心卖点正是 “随时随地远程调用”。为了实现手机端、异地设备的顺畅访问,大量用户会按照网络教程将监听地址改为 0.0.0.0,允许所有外部 IP 访问,且多数用户并未同步设置复杂的身份验证机制。
这一操作直接让 OpenClaw 的核心端口 18789 成为公网中的 “不设防大门”,黑客无需掌握复杂的漏洞攻击技术,只需扫描到相关 IP 地址,就能直接潜入用户系统,实施一系列恶意操作:可以利用 AI 代理的系统级权限窃取主机内的 AI 厂商 API Key、云平台访问凭证等核心资产;能实时监控用户与 AI 的所有聊天记录、私密指令及传输文件,实现全量隐私窃取;对于连接了机械臂、自动化硬件的特殊用户,黑客甚至能跨数字空间直接操控物理设备,让物理世界的操作也陷入失控。原本的效率利器,就此沦为黑客随取随用的 “在线提款机”。
隐患二:认证逻辑存在隐形盲区,反向代理触发 “本地人” 陷阱
如果说端口暴露是表层的安全漏洞,OpenClaw 在身份验证机制上的设计缺陷,则是更为致命的深度问题 —— 该工具默认对所有来自localhost(127.0.0.1)的连接请求自动授权,无需密码、Token 等任何校验,这一设计虽为本地单机开发提供了便利,却在实际生产环境的部署中埋下了巨大隐患。
不少有一定安全意识的进阶用户,会在 OpenClaw 前端加挂 Nginx、Caddy 等反向代理工具,以实现 TLS 加密或基础的安全防护,但 OpenClaw 的后端逻辑无法正确识别经由代理转发的真实来源 IP,会将所有代理请求统一判定为来自 127.0.0.1 的内部受信任流量。这一逻辑偏差直接让身份验证机制形同虚设,攻击者可利用反向代理作为跳板,无需任何凭证就能完美绕过鉴权,获取管理员级别的系统操作权限。即便用户采取了防护措施,也会因部署模式的不当,陷入被动的防御真空状态。
隐患三:架构设计权力过度集中,AI 代理沦为 “全权限” 执行木马
从安全审计的角度分析,OpenClaw 最核心的安全风险,源于其 “聊天窗口直达操作系统底层” 的架构设计,这款 AI 代理被赋予了操作 Shell、浏览器、本地文件的最高系统特权,且缺乏严密的沙箱隔离机制,这种 “权力过度集中” 的设计,直接催生了两类极端的安全威胁。
一方面,极易遭遇提示词注入的深度劫持攻击。攻击者无需通过传统的网络渗透手段,只需在 AI 能够读取的外部网页、邮件等内容中植入恶意提示词,当 OpenClaw 的 AI 代理自动化处理这些信息时,就可能被恶意指令 “洗脑”,在后台悄悄执行窃取 SSH 密钥、外传核心数据等恶意操作;另一方面,存在指令执行的不可预测性,AI 在理解模糊的用户指令时可能产生偏差,在未经人工确认的情况下,误删系统核心文件、修改网络核心路由等,相当于向未经审核的第三方开放了远程 Shell 的全权限访问。
对于政企用户而言,员工在办公网络中私自部署这类工具,更是在企业原本严密的安全防御体系内,预埋了一个随时可能从外部被引爆的高权 “内鬼”,企业的核心数据、系统权限都将面临泄露和失控的风险。
AI 技术的初衷是为生产生活赋能,而非成为引狼入室的 “引信”,OpenClaw 的案例也再次印证,在享受 AI 技术带来的效率红利时,安全红线绝不能被忽视。尤其是对于政企用户而言,面对这类具备本地系统执行能力的 AI 代理工具,单纯依靠员工的安全自觉远远不够,必须通过制度约束与技术手段双管齐下,构建起组织级的安全防御体系,才能避免高效的 “数字管家” 沦为失控的安全隐患。对此,结合专业安全建议,政企用户可从以下四方面着手防范:
1. 建立 AI 应用准入白名单,强化高风险软件审计
将 OpenClaw 这类具备本地系统执行能力的 AI 代理工具纳入企业高风险软件审计目录,严禁员工私自在办公终端、开发服务器及生产环境安装未经审核的相关工具;对于确有业务需求的使用申请,需由企业安全部门进行全面的风险评估,包括认证配置、沙箱隔离情况等,审核通过后方可接入企业网络。
2. 强化终端与网络边界防护,硬性阻断高危端口
通过终端检测响应系统(EDR)、终端安全软件等工具,强制禁止企业终端将 OpenClaw 的网关端口 18789、mDNS 端口 5353 对外开放;同时在企业出口防火墙上,实施针对上述高危端口的全局封禁策略,彻底切断公网绕过企业鉴权体系访问内网 AI 代理的所有路径。
3. 常态化开展 “影子 AI” 盘点,主动发现安全漏洞
利用网络空间测绘平台等外部测绘手段,定期对企业所属 IP 段进行安全 “体检”,搜索是否存在私自暴露的 OpenClaw 相关资产,通过 “以外看内” 的视角,在攻击者发现漏洞之前,及时处置因员工追求便利而产生的安全 “蚁穴”,将风险扼杀在萌芽阶段。
4. 推行最小权限原则,增加人工二次确认环节
对于企业获批部署的 AI 代理工具,强制要求在 Docker 等隔离容器内运行,严禁赋予其 Root 或管理员级别的系统最高权限;同时在业务流程中植入 “人工干预” 节点,针对文件删除、敏感凭证读取、系统配置修改等高危操作,设置强制弹窗的人工二次确认环节,防止因提示词注入导致的 AI 自动化劫持。
在 AI 技术快速发展的当下,各类创新 AI 工具层出不穷,但安全始终是技术落地的前提。无论是个人用户还是政企机构,在选择和使用这类具备系统操作权限的 AI 工具时,都需保持足够的安全警惕,切勿因一时的便捷,让自己陷入数据泄露、系统失控的安全危机。