你以为你的开发团队在为公司加班加点搞创新,实际上,他们可能正在把公司的内网大门敞开,铺上红地毯请黑客进来喝茶。
这就是 OpenClaw 带来的现实。
Censys 公布的数据表明:短短不到一周,这个开源 AI 智能体在公网上的暴露实例就从 1000 个飙升到了 21,000 个。
真 · 病毒式扩散。
一周暴涨21倍,这东西正在失控
不仅仅是个人爱好,已经烧到企业里了。
Bitdefender 的 telemetry 数据明确指出了一个让安全负责人们做噩梦的趋势:
员工们用单行命令就把 OpenClaw 安装到了公司的电脑上,
而一旦安装,这个所谓的智能代理就拿到了最高权限:
Shell 访问、文件读写、甚至是你 Slack、Gmail 和 SharePoint 的 OAuth 令牌。
这相当于把公司保险柜的钥匙,挂在了随便路过的机器人脖子上。
然鹅,这股热潮根本停不下来。
OpenAI 的 Codex 应用第一周下载量破百万;Meta 被发现在测试 OpenClaw 集成;有个叫 ai.com 的初创公司甚至花了 800 万美元投超级碗广告,推的居然就是个 OpenClaw 的套壳产品。
所有人都在冲,没人回头看路。
把瑞士军刀递给黑客
如果你觉得这只是个效率工具,那你可能低估了它的破坏力。
安全圈有个词叫“致命三要素”,是研究员 Simon Willison 提出来的:
私有数据访问 + 不受信任的内容暴露 + 外部通信能力。
OpenClaw 完美集齐了这三样,而且是设计之初就写进 DNA 里的。
这玩意儿默认绑定在 0.0.0.0:18789,意味着只要你在同一个反向代理下部署,认证边界就会瞬间崩塌,外部流量会被当成本地流量直接放行。
而且,漏洞多得像筛子。
CVE-2026-25253,一个评分高达 8.8 的远程代码执行漏洞,攻击者只要发个恶意链接,就能在几毫秒内窃取认证令牌,完全接管网关。
还有一个 CVE-2026-25157,能通过 macOS SSH 处理程序搞命令注入。
这就完了?没有。
有人分析了 ClawHub 市场上的 3,984 个技能,发现 7.1% 含有严重安全漏洞,明文暴露敏感凭证。Bitdefender 的审计结果更抽象,发现大概 17% 的技能直接表现出恶意行为。
最讽刺的例子莫过于 Moltbook。
这个基于 OpenClaw 的智能体社交网络,居然把整个 Supabase 数据库公开放在了网上,没开任何行级安全策略。
结果,150 万个 API 认证令牌、3.5 万个电子邮件地址,还有包含明文 OpenAI API 密钥的私人消息,全部泄露。
只要你有个浏览器,就能读写整个平台的凭证。
别买Mac Mini了,用沙盒把它关起来吧
现在的情况很尴尬:安全专家喊着“别碰”,但安装指南还在忽悠你“买个 Mac Mini 吧”。
你需要一条中间路线。
Cloudflare 搞了个叫 Moltworker 的框架,我觉得这个思路才是正解。
它的核心逻辑很简单:别让智能体跑在你负责的物理机器上。
它把 OpenClaw 的“大脑”和执行环境剥离开了。
智能体跑在 Cloudflare 的 Sandbox 里,那是个临时的、隔离的微虚拟机,任务一结束,它就死了。
架构分四层:边缘的 Worker 负责路由,OpenClaw 运行在装了 Ubuntu 24.04 和 Node.js 的沙盒容器里,R2 对象存储负责加密持久化,最后用 Zero Trust 认证守住管理界面。
这就叫“Containment”(遏制)。
如果智能体被提示注入攻击劫持了,它也只会被困在一个临时的容器里,连你的本地网络和文件的边都摸不着。
容器一销毁,攻击面也就随之灰飞烟灭。
最重要的是,你的企业笔记本里不会再有那种明文躺着的凭证文件了。
成本一个月也就 7 到 10 美元。
比起那个放在你桌上、不仅贵(599 美元)还拿着你全家桶权限的 Mac Mini,这账怎么算都划算。
30天“折磨”测试,看它会不会造反
有了沙盒,不代表你可以高枕无忧,你得测试。私以为,前 30 天千万别接任何真实业务。搞个一次性身份,建个只有假数据的测试日历,或者注册个全新的邮箱,别关联任何公司基础设施。
这时候,你可以开始干点“坏事了”:
给它发带毒的链接。 看看它会不会像 Giskard 研究员演示的那样,悄悄把攻击者的指令写进自己的工作区文件里,然后等外部服务器的进一步指令。
给它有限的权限,然后盯着它。 看看它会不会试图申请更多权限,或者偷偷连接你没授权的端点。
装个 ClawHub 技能试试水。 虽然现在 OpenClaw 集成了 VirusTotal 扫描,但你可以再套个 Prompt Security 的 ClawSec 套件,做个双重校验。
甚至可以故意给它矛盾的指令。 比如通过日历邀请发隐藏指令,或者用 Telegram 消息试图覆盖系统提示。
这就是沙盒存在的意义:让你在没有任何生产风险的前提下,看看这东西到底会不会造反。
OpenClaw 只是个开始
这种智能体以后会层出不穷,你现在建立的这套评估框架——隔离执行、分级集成、信任扩展前先验证——才是能保命的东西。
别等下一个爆款智能体把你的数据搞丢了再后悔,现在就开始搭这套沙盒吧。
毕竟,你是想成为生产力的受益者,还是想成为下一个安全通报的主角?
参考链接:
https://venturebeat.com/security/how-to-test-openclaw-without-giving-an-autonomous-agent-shell-access-to-your