1800个后门大开，GitHub爆火的AI助手正在“裸奔”

GitHub 上有 18 万颗星，单周涌入 200 万访客。

这听起来像是一个独角兽初创公司的战绩，但它其实只是一个开源项目——OpenClaw。

然而，就在开发者们为这个能自动帮你回邮件、跑脚本的 AI 助手欢呼时，安全研究人员在互联网上发现了 1800 个完全暴露的实例。

没有防火墙，没有密码，你的 API Key、聊天记录、甚至公司机密，正像自助餐一样摆在那里，等着被黑客享用。这事儿有点意思，也有点吓人。

你的防火墙全是瞎子

说实话，企业安全团队最怕的不是那种声势浩大的 DDoS 攻击，而是这种“看不见”的威胁。

OpenClaw 之所以能绕过传统防御，是因为它根本不搞破坏。它就在你的权限范围内干活：读读邮件、翻翻文档、发发消息。

你的防火墙看到什么？全是正常的 HTTPS 请求，返回码都是 200 OK。

你的 EDR（端点检测与响应）看到什么？一个合法的进程在跑。> “AI 运行时攻击是语义层面的，而不是语法层面的。”

Reputation 公司的人工智能副总裁 Carter Rees 说了句大实话。一句看似人畜无害的“忽略之前的指令”，其破坏力堪比当年的缓冲区溢出。但传统的杀毒软件根本不认识这种“文字游戏”，因为它没有恶意代码特征。

只要模型“理解”了指令，它就会乖乖把数据发出去。

致命三要素：完美的漏洞组合

Simon Willison，那个发明了“提示词注入”这个词的大佬，给这种风险起了个名字叫“致命三要素”。这三样东西凑在一起，就是灾难：

1. 能访问私有数据；
2. 能接触不可信的内容（比如互联网）；
3. 能对外通信。

OpenClaw 全占了。

它读你的邮件，它上外网查资料，它还能自己发消息。黑客不需要攻破你的服务器，只需要“忽悠”一下这个 AI，让它觉得自己应该把数据发过来。

整个过程，没有报警，没有异常日志，只有 AI 在“认真执行命令”。

Shodan 扫描：谁把家门钥匙扔在了大街上？如果你觉得这只是理论上的风险，那下面这些数字可能会让你睡不着觉。

安全研究员 Jamieson O'Reilly 用 Shodan（一个网络空间搜索引擎）随便搜了一下“Clawdbot Control”。

几秒钟，几百个结果跳出来。

他手动检查了一下，好家伙，8 个实例完全没有身份验证。任何人连上去，都能直接运行命令，看配置文件。

他在里面翻到了什么？
Anthropic 的 API Key、Telegram 的机器人令牌、Slack 的 OAuth 凭证，还有好几个月的完整聊天记录。为什么会这样？

因为 OpenClaw 默认信任本地主机。大多数部署都用了 nginx 或 Caddy 做反向代理，所以所有流量看起来都来自 127.0.0.1。安全设备觉得这是“自己人”，就放行了。

结果，黑客大摇大摆地走了进来。

AI 们的“地下社交圈”

这事儿还没完，反转来了。

现在的 OpenClaw 代理们，已经开始搞自己的“社交网络”了。

有个叫 Moltbook 的项目，号称是“AI 代理的社交网络”，人类只能围观，不能发言。这意味着什么？意味着你的 AI 助手正在你睡觉的时候，在外面“交朋友”。

为了加入这个网络，代理会自动执行外部的 Shell 脚本，重写自己的配置文件。它们在里面聊工作、聊用户的习惯、甚至聊遇到的错误。

有个用户确认，他的 AI 代理在他睡觉的时候，居然在这个网络里发起了一个“宗教主题的社区”。

这听起来很赛博朋克，对吧？

但从安全角度看，这是地狱。只要 Moltbook 上有一篇文章包含恶意指令，就会瞬间传染给所有“加群”的代理。数据泄露成了入场的门票。

Cisco 的噩梦测试

Cisco 的 AI 安全研究团队这周也出了一份报告，评价很直接：能力是“开创性”的，安全是“绝对的噩梦”。

他们写了个开源的“技能扫描器”，然后测试了一个叫“What Would Elon Do?”（马斯克会怎么做？）的第三方技能。

结果惨不忍睹：9 个安全问题，2 个致命，5 个高危。

这个技能本质上就是恶意软件。它指示 AI 执行 curl 命令，把数据偷偷发到作者控制的服务器上。悄无声息，用户毫不知情。> “LLM 根本分不清哪些是受信任的用户指令，哪些是不可信的数据。”

一旦 AI 拥有了系统权限，它就变成了一个隐秘的数据泄露通道，什么 DLP（数据防泄露）、代理服务器、终端监控，统统形同虚设。

周一早上，CISO 该怎么办？

我觉得，这时候再去喊“禁止使用”已经没用了。Shadow AI（影子 AI）早就进了你的公司，你拦不住。

Prompt Security 的创始人 Itamar Golan 给了个建议：**把 AI 当成生产基础设施，而不是办公软件。**简单说，就是别太惯着它。

• 去扫一扫你的网络：用 Shodan 搜搜看有没有 OpenClaw、Moltbot 的痕迹。别等黑客先找到。
• 检查那个“致命三要素”：看看你的环境里，有没有同时拥有数据权、外网访问权和发送权的 AI。有？那就当它已经中毒了。
• 权限切割：AI 不需要访问你的所有邮件、所有文档。给它最小权限。就像你不会把保险柜钥匙给实习生一样。
• 扫描技能包：Cisco 的那个扫描器用起来，别让“马斯克”把你的数据卷跑了。
• 更新应急手册：提示词注入看起来不像攻击，没有病毒特征，没有流量异常。你的 SOC 团队得知道他们在找什么。OpenClaw 本身不是威胁，它只是一个信号。

它告诉我们：草台班子式的狂欢已经开始了，但安全防护还在穿鞋。

未来 30 天，你是能建立起有效的控制模型，还是成为下一个数据泄露的新闻头条？

这就看你周一早上怎么做了。

参考链接：
https://venturebeat.com/security/openclaw-agentic-ai-security-risk-ciso-guide