约千个OpenClaw网关未设防暴露
网络安全研究人员近期表示,他们在开放互联网中发现了大约1000个未受保护的OpenClaw网关。这些网关无需任何身份验证即可访问,而OpenClaw本身是一款开源、可主动执行任务的人工智能代理,可通过WhatsApp或Telegram等应用中的文本对话进行控制。
研究人员指出,这些暴露的网关意味着,任何能够连接到相关地址的人,都可能获得与OpenClaw相同级别的访问权限,包括用户的个人信息及其数字资产。
技能系统被利用登顶排行榜
据报道,一名白帽黑客曾利用OpenClaw的“技能”系统进行测试。该系统允许用户为OpenClaw添加插件,用于网页自动化或系统控制等任务。这名白帽黑客创建的技能本身被描述为无害,但其设计利用了一个安全漏洞,最终登上了技能排行榜首位,并被全球用户下载。
网络安全人士担心,类似漏洞一旦被恶意行为者掌握,可能被用来实施更具破坏性的攻击。
完整读写控制风险引发关注
根据研究人员的说法,访问这些未受保护网关的攻击者,理论上可以获得与OpenClaw相同的文件和内容访问权限。这不仅涉及用户本地计算机上的文件,还包括任何与之连接的账户,例如电子邮件地址和电话号码等。
这类访问被形容为“完全的读写控制权”,意味着攻击者可以查看、修改甚至删除相关数据。已有多起利用这些漏洞的事件被报道。
产品起源与快速走红
OpenClaw最初名为Clawdbot,由奥地利出生、现居伦敦的开发者Peter Steinberger于2025年11月发布。Steinberger此前因开发可在应用程序中原生显示和编辑PDF的工具而为业内所知。OpenClaw的推出紧随2025年底人工智能在文件交互能力方面的一波进展。
在此之前,不少用户开始尝试Anthropic推出的Claude Code。这是一款通过终端或命令行连接计算机文件系统的代理式人工智能工具,能够在一定监督下,根据对话式提示独立构建大型项目。该工具令部分用户感到兴奋,但对于不习惯非图形界面的用户而言,使用门槛相对较高。
作为回应,Anthropic随后推出了Claude Work,让Claude Code在一个更为友好的图形界面中运行。尽管这一组合获得一定关注,但最受瞩目的,仍是由Anthropic生态之外的开发者打造的第三方产品。
Steinberger开发的OpenClaw在功能上模仿了Claude Code的核心能力,并在此基础上增加了更多特性,尤其是可以在无需持续提示的情况下主动执行任务。
主动型代理推动普及亦放大风险
OpenClaw的“主动性”被视为与同类产品的关键差异点。该工具在Anthropic要求下,先于上周从“Clawdbot”更名为“Moltbot”,随后又改名为“OpenClaw”。
其潜力在科技行业内引发广泛兴趣。有迹象显示,OpenClaw的流行推动了Mac Mini销量的上升,后者成为托管该代理的热门硬件选择。同时,OpenClaw在X和Reddit的部分社区中迅速走红。
然而,正是这种“无需专业编码知识、设置简单即可监督一名积极AI助手”的特性,也成为安全专家关注的焦点。
网络安全公司Eset的专家Jake Moore表示,许多用户对将OpenClaw作为个人助理的前景感到兴奋,从而给予其对自身数字生活几乎不设限的访问权限,有时还将其实例部署在配置不当的虚拟专用服务器(VPS)上,进一步放大了被黑客攻击的风险。
Moore称:“向任何新技术开放私人消息和电子邮件都存在风险,当我们不了解这些风险时,可能会步入一个将效率置于安全和隐私之上的新时代。”
他指出,OpenClaw强大的访问能力意味着,一旦运行该代理的设备被攻破,攻击者可能获得包括完整历史记录和高度敏感信息在内的全部数据访问权。
开发者沉默 安全文档未必被采纳
Peter Steinberger未回应多次采访请求。不过,他已在网上发布了关于Moltbot的详尽安全文档。但网络安全专家担心,许多用户在部署时并未严格遵循这些安全指引。
英国萨里大学网络安全教授Alan Woodward表示:“像Clawdbot这样的发展非常诱人,但却是坏人的礼物。”他强调,“能力越大,责任越大,而机器不负责任,最终责任在于用户。”
Woodward认为,OpenClaw这类工具以“始终在线”的无监督助手形式运行,容易让用户在日常使用中忽视自身应承担的安全责任,直到问题暴露时为时已晚。
易受提示注入攻击的隐患
已有示例显示,Moltbot易受“提示注入”攻击,即在网站或电子邮件中嵌入特定指令,期望AI代理在读取相关内容时自动吸收并执行这些指令。
Woodward表示,他担心,当代理式AI在这类攻击下执行诸如清空用户账户或发布仇恨言论等操作时,用户将如何界定责任归属。他说:“我想知道,当代理式AI清空他们账户或发布仇恨言论时,这些用户会怪谁。”
