DUGUANFU.CLOUD

法律实务 × 科技创新

用 OpenClaw 办公?你可能正在主动把电脑变成黑客的“肉鸡”!

最近,AI 圈被一款名叫 OpenClaw 的“打工人神器”刷屏了。作为一款可以本地部署的 AI 智能体(Agent),它不仅能跟你聊天,还能帮你回邮件、写代码、甚至操控浏览器和文件系统——简直就是一个 24 小时无休的全职数字助理。

但别急着高兴。当你在惊叹它有多“能干”的时候,黑客们可能也在屏幕另一端盯着你的电脑流口水。事实证明,将 OpenClaw 这样的智能体引入你的设备,风险不亚于主动给黑客递上一把大门钥匙。

神秘黑客与绿色代码屏幕

1. 端口暴露:你的电脑正在互联网上“裸奔”

大多数人在部署 OpenClaw 时,为了能随时随地用手机访问控制面板,会习惯性地将它部署在云服务器上,并把默认的 18789 端口开放给全网。这对于缺乏安全常识的普通用户来说,简直是灾难性的操作。

在著名的黑客搜索引擎 Shodan 上,安全研究人员发现仅仅通过搜索 port:18789,就能瞬间定位到大量毫无防护的 OpenClaw 实例。更令人震惊的是,有安全团队专门建立了一个网站(https://openclaw.allegro.earth/),上面密密麻麻地列出了约 28 万个端口处于暴露状态的 OpenClaw 实例!值得一提的是,就在上周五,这个数字还只有 23 万条,仅仅过了一个周末就暴增了 5 万条。这些暴增的实例究竟是被谁恶意扫描上去的,还是随着软件流行被小白用户糊涂开放的?我不好说。但由于许多实例根本没有配置访问验证机制(Zero Auth),任何人只需在浏览器输入这些 IP 和端口,就能直接进入受害者的控制面板。在这里强烈建议读者检查一下自己服务器的 IP 是否也名列其中。

这意味着什么?你可能觉得:“我的 OpenClaw 只是部署在云端放着玩的,机器上根本没有照片、文档之类的隐私数据,黑客进来了能怎样?”

大错特错!即使你的服务器是一张“白纸”,黑客一旦获取了 OpenClaw 的控制权,就能利用其底层系统权限直接打开终端执行远程命令(RCE)。首先,你的电脑(或云服务器)会彻底沦为黑客攻击其他目标的“中转站”和“肉鸡”,参与 DDoS 攻击或非法挖矿;其次,只要你为了让 AI 工作而在系统里配置过大模型厂商的 API Key(如 OpenAI、Anthropic 的密钥),这些额度分分钟就会被黑客盗刷殆尽。这不再是理论上的风险——最近就有真实案例爆出,一家海外软件公司因为实例暴露,导致云服务凭证被盗,短短几天内就被黑客狂刷了超 8 万美元的账单。

用最时髦的 AI 工具,却踩了最基础的安全大坑。这不仅仅是 OpenClaw 的设计缺陷,更是当前 AI 基础设施建设中对“默认安全”理念的普遍忽视。

红色警告与数据泄露概念

2. 恶意 Skill 入侵:防不胜防的“供应链投毒”

你可能会说:“那我学聪明点,只在本地运行,死死捂住 18789 端口不就行了?”

天真了。就算你把大门锁死,黑客还能通过“送快递”的方式把炸弹送到你家里——这就是针对 OpenClaw 的恶性插件(Skill)攻击。

为了让 AI 变得更强大,OpenClaw 官方推出了类似于应用商店的 ClawHub,允许开发者上传各种技能插件。然而,这个缺乏严格审核的生态迅速沦为了黑客的温床。在最近被称为“ClawHavoc”的供应链攻击事件中,安全机构一口气揪出了 1,184 个恶意插件,占当时所有插件的惊人比例!

这些恶意插件伪装得极好:有的叫“谷歌日历助手”,有的叫“推特自动化发文”。

更可怕的是,OpenClaw 为了“不折不扣”地完成任务,往往具备极高的自主性,会自动尝试配置运行环境、安装缺失的依赖包或应用插件。在这种“一键解决问题”的机制下,AI 可能会在后台静默执行恶意 Skill 中预设的“初始化脚本”或“环境修复指令”。你以为它在帮你安装环境,实际上它可能正在通过极高的管理员权限,自主地把黑客的后门程序“请”进家门。

一旦 AI 自动执行了这些经过 Base64 混淆的恶意代码,后台就会悄悄下载针对 macOS 或 Windows 的窃密木马(比如大名鼎鼎的 AMOS Stealer),直接打包偷走你的浏览器密码和加密货币钱包私钥。

更有甚者,一些伪装成“同步工具”的插件,安装后会默默利用 OpenClaw 的文件读取权限,扫描你电脑里所有带 .mykey 等后缀的私钥文件,然后悄悄传回黑客的服务器。这说明,即便避开了外部攻击,内部插件的“反水”同样致命。用户在追求效率的同时,往往忽略了代码审查,成为了攻击链路中最薄弱的一环。

AI芯片与发光的大脑

3. 智能体架构的通病:过度授权与审计失效

OpenClaw 暴露出的问题,绝非孤例。放眼望去,目前市面上所有具备主动执行能力和“心跳机制” of Agent 架构,都在面临类似的生死劫。

这类 Agent 的核心价值在于“代替人类干活”。为了让它干好活,用户往往会不计后果地赋予它最高系统权限——读写文件、操作浏览器、执行 Shell 脚本。这就好比你雇了一个连底细都不清楚的新人,上班第一天就把公司金库密码、公章和所有客户资料全交给了他。

那么,用另一个 AI 来审计这些行为行不行?比如在系统中安插一个专门防“内鬼”的“安全审计 Skill”?

很遗憾,这种思路在当前的 Transformer 架构下是行不通的。由于大语言模型的黑盒特性和注意力机制的局限性,AI 很容易被黑客通过巧妙的提示词注入(Prompt Injection)或代码混淆绕过审计。黑客只需把恶意指令伪装成“正常系统维护任务”,或者在超长文本中夹带私货,审计模型就可能因为上下文截断或理解偏差而将其放行。用魔法打败魔法,在这里暂时是个伪命题。AI 模型本身缺乏对逻辑因果的深度理解和确定性推理,这使得它们在面对精心构造的对抗性样本时显得异常脆弱。

网络安全概念与抽象锁

4. 问题的本质:便利与安全的永恒博弈

在突飞猛进的 AI Agent 领域,为何我们还在“裸奔”?普通人根本无法判断一个拥有系统级权限的智能体是否正在执行危险操作,更无法验证它下载的第三方工具包是否藏有后门。造成这一局面的本质,其实是**“人类本性对便利的妥协”**。

理论上,我们完全可以选择让 AI “每走一步都申请一次授权”,由用户亲自审查每一行将要执行的命令和代码。但如果真这么做,AI 带给我们的“撒手不管”的效率就荡然无存了。在最近的一次公开演讲中,连 OpenAI 的 CEO 萨姆·奥特曼(Sam Altman)都坦言:尽管他对 AI 安全保持着极其高度的警觉,但在 OpenClaw 带来的极大便利诱惑下,他最终还是忍不住点下了那个“一键全局授权”的按钮。我们在使用 VS Code 等工具的辅助编程插件时,不也是已经习惯了盲目点击“Allow All Session”或“Enable”吗?

这就好比在传统软件时代,几乎没有人会去逐字阅读那份冗长无比的《最终用户许可协议》(EULA)。然而,传统软件时代经过多年的阵痛,如今已经建立起了大量法律法规(如 GDPR)来限制大公司对用户隐私信息的收集和滥用;但在 AI Agent 领域,针对这类高自主权系统的法律规制目前几乎是一片荒芜。

数字安全锁与数据保护

5. 破局之道:Agent 时代需要属于自己的“安全锁”

我们今天能放心地在网页上输入银行卡号,是因为万维网经过几十年的发展,建立起了一套以 SSL/TLS 证书和 HTTPS 协议为核心的安全信任体系;我们敢在手机上下载 App,是因为 iOS 和安卓有着严格的应用沙箱机制和代码签名验证。

要解决这个从人性本质延展出的技术与法律死结,单靠一两家公司的修补是远远不够的。只有当我们在技术规范和法律框架上形成双重约束,才能让 Agent 像今天的万维网一样安全。我们需要在以下几个层面建立全新的规则:

结语

OpenClaw 的爆火,只是拉开了 AI 代理时代的序幕;而它带来的安全危机,则是一记响亮的警钟。在沉迷于“让 AI 帮我写 PPT”的快感之前,也许我们都该停下来想想:自己是不是正在亲手把电脑变成黑客的“肉鸡”。技术的发展不应以牺牲安全为代价,构建一个可信、可控的 AI 智能体生态,是我们迈向真正智能化未来的必修课。

参考资料

  1. JFrog Security Research: Giving OpenClaw The Keys to Your Kingdom? Read This First
  2. eSecurity Planet: Hundreds of Malicious Skills Found in OpenClaw’s ClawHub
  3. Bitdefender Labs: Helpful Skills or Hidden Payloads? Bitdefender Labs Dives Deep into the OpenClaw Malicious Skill Trap
  4. OpenClaw Shodan Exposure Tracker: https://openclaw.allegro.earth/
  5. Bloomberg: OpenClaw May Be a Security Nightmare for OpenAI's Sam Altman