135,000名自主代理面临风险,危机室无人应对
2026年1月底,一名安全研究员使用Shodan这一标准识别工具在互联网上追踪,发现近1000个公开的OpenClaw安装,无需密码、无需验证,缺乏任何遏制机制。要利用这些漏洞并不需要复杂的技术,只需知道在哪里寻找。通过这些开放的入口,另一名研究员获取了Anthropic的API密钥、Telegram的机器人令牌、Slack账户、会话历史,且以管理员特权执行命令。几周后,SecurityScorecard发布了这场灾难的完整规模:全球82个国家的超过135,000个OpenClaw实例暴露,其中50,000多个面临远程代码执行的风险,53,000多个与之前的漏洞有关。
这不是一个关于软件缺陷的故事,而是一种商业模式的透视,这种模式基于一个危险的前提:即大规模采用和安全性可以是两个顺序问题。先增长,后保护。市场以无情的精确性证明,这一顺序有一个成本,而这个成本并不是开发者所能承担的。
当明星产品是你家的钥匙
OpenClaw(在发布前几个月被重新命名为Clawdbot)以一种明确的提案吸引市场:一个能够在操作系统上执行命令的自主代理,管理文件,连接到消息应用程序,并通过名为ClawHub的开放技能市场进行操作。其独特之处在于它对用户系统的权限级别,而非界面或底层语言模型。它具备对shell的本地访问,直接与存储的凭证集成,与外部服务无缝连接。
这种高权限架构,加上默认配置盲目信任来自localhost的无认证连接,造成了前所未有的攻击面。当这些安装背后存在配置错误的反向代理时,管理界面会暴露给任何外部连接。这不是用户的错误:这是系统默认行为所产生的结果。
在2026年1月底进行的一次审计中,当时该平台仍以Clawdbot的名义运行,发现了512个漏洞,其中8个是关键漏洞。文档中列出了几个漏洞向量:通过链接预览注入提示,让用户在未点击任何链接的情况下将数据外泄到攻击者控制的域名;通过网页实现对代理的完全控制且不需要安装任何插件的漏洞链;以及对认证尝试没有限制,便于暴力破解。
在2026年1月27日至2月1日之间,研究人员内部称之为“ClawHavoc”的一段时间内,在ClawHub和GitHub上发布了230多个恶意扩展,下载量达到数千次。Reco.ai证实,在注册的2857个技能中,有341个是恶意的,占总目录的12%,这些技能旨在模拟交易和金融工具,同时在后台安装程序以窃取凭证、加密钱包的种子短语和浏览器会话数据。
开放市场作为系统风险的载体
ClawHub在纸面上是OpenClaw的竞争优势。一个开放的代码库,任何开发者都可以发布技能,其他用户可以一键安装。这个模式模仿了移动应用市场,但有一个结构性差异,使其在风险方面无法比拟:OpenClaw的技能并不在隔离的环境中运行;它们直接在用户操作系统上执行命令。
当思科对这些技能应用其分析工具时,发现其中两项的危急程度为最高,五项为高。某些技能执行`curl`命令在操作看似例行的过程中将数据外泄到外部服务器,其他的则利用提示注入绕过代理内部的安全机制。卡巴斯基在评估中表示:在那种状态下,OpenClaw对于任何使用都是不安全的。
最接近的类比不是恶意扩展的浏览器,而是一个拥有对公司所有系统完全访问权限的员工,任何路人都可以通过书面指令给他下达命令,而他会遵循这些指令,因为他的内部规则不会区分合法命令与操控指令。提示注入将自然语言、OpenClaw的界面,转变为一个攻击载体。而一个没有有效监管的市场,则将这一载体变成了随时可扩展的犯罪基础设施。
Archestra.AI的首席执行官在控制条件下演示了如何通过一封电子邮件让代理提取私钥。一名Reddit用户无需任何特定提示就复制了这一结果。Oasis Security记录了一条完整的漏洞链,允许从任何网站静默接管代理,分类为高危漏洞,发布后在24小时内被在2026.2.25版本中修补。中国的网络应急响应机构CNCERT发出了正式警报,相关部门禁止在政府计算机、国有企业和军方家庭设备上使用OpenClaw。
外部化的风险经济
在这里,商业模式的分析变得令人不安。OpenClaw并不是出于审美上的疏忽而设计不安全的默认配置。相反,它是为了最小化安装摩擦并最大化采用速度。每额外的设置步骤都会降低转换率。用户在开始使用产品之前必须做出的每个决策都是放弃的机会。这种逻辑在用户增长的角度看是完全合理的,却将风险的成本转移给最没有能力管理这一风险的用户。
超过50,000个易受远程代码执行攻击的实例并不代表用户的失败,而是一个模型的可预测结果,该模型优化了单一变量,即采纳率,而其余问题则成为生态系统的麻烦。CNCERT特别指出金融和能源行业的公司并未主动选择接受这种风险,而是继承了一个从未询问它们是否愿意承担这一风险的架构。
这种外部化风险的真正成本并未反映在OpenClaw的资产负债表中。 它体现在部署该代理的公司的安全团队中,出现在应急响应的预算中,客户信息泄露的数据中,撤销和重新生成的API密钥中,法医审计的小时中。OpenClaw的采用速度在某种程度上成为其用户无意中资助的。
这并非OpenClaw所独有。任何将分发货币化而不内化安全成本的平台都呈现出这样的模式。开放代码库的市场,从浏览器扩展到代码包,反复证明未能有效监管是不可能无代价扩展的。ClawHub的12%恶意技能并非统计异常,而是缺乏经济激励的系统在检测并清除这些技能之前,积累数千次下载的正常结果。
最大权限,最小责任
自主AI代理相较于对话型语言模型而言,标志着一个质的飞跃。一个回答错误的聊天机器人会产生错误反馈;而一个可通过操控指令操作,且具有操作系统访问权限的自主代理,则可能窃取文件、执行任意代码、不可逆转地破坏数据,或者影响存储在设备上的所有凭证。其潜在损害的范围并不成比例于传统软件。
这种能力与责任之间的不对称是任何补丁都无法单独解决的战略缺口。OpenClaw于1月29日发布了CVE-2026-25253,并在1月30日于2026.1.29版本中进行了修补,并在24小时内在2026.2.25中关闭了Oasis链。技术响应的速度令人钦佩。然而,135,000个暴露节点并不会自动更新,而已下载的341个恶意技能也无法通过安全公告自行卸载。
正在考虑在其操作中部署自主代理的公司面临的是架构而非技术决策。赋予自主系统对关键基础设施的管理员级别权限,而没有将这些能力隔离在受限环境中,未对每个安装的技能进行审计,也未实施连续的异常行为监控,将操作控制转移给一个以自然语言为操作界面的系统。 而自然语言没有防火墙。
每位考虑使用该类工具的C-Level高管的任务十分明确:自主代理供应商的商业模式必须明确揭示如何内化安全成本,谁为市场的审核买单,哪些隔离机制是默认激活的,以及当代理在操控指令下操作时会发生什么。如果这些答案不在合同中,则将出现在客户的应急响应预算中。那些将这些工具当作常规生产力软件来部署的领导者将发现,自主性的真实成本由攻击者而非供应商来决定。
