OpenClaw 漏洞遭大规模利用，黑客窃取 API 密钥并部署恶意软件

OpenClaw 遭大规模利用

多个黑客组织正在广泛利用 OpenClaw（前身为 MoltBot 和 ClawdBot）部署恶意载荷。这款由 Peter Steinberger 开发的开源自研 AI 框架（现开发者已加入 OpenAI），在 2026 年 1 月下旬病毒式传播后，迅速成为了高危攻击目标。

该架构赋予系统高级权限、持久内存访问能力以及与敏感服务的集成能力，这使其成为凭证窃取和数据外泄的绝佳目标。在大规模部署仅 72 小时内，威胁分子就开始利用多个严重漏洞。这些漏洞包括高危远程代码执行漏洞（CVE-2026-25253）、供应链投毒，以及通过暴露的管理界面窃取凭证。

Flare 的安全分析师已发现超过 3 万个遭入侵的 OpenClaw 实例被用于窃取 API 密钥、拦截消息，并通过 Telegram 等恶意通信渠道传播信息窃取型恶意软件。

ClawHavoc 攻击行动：供应链大规模感染

2026 年 1 月 29 日，安全研究人员检测到代号为“ClawHavoc”的早期破坏性攻击行动。

这次供应链攻击将 Atomic Stealer（针对 macOS）和键盘记录器（针对 Windows）等恶意载荷，伪装成合法的加密工具。用户通过所谓的“安装”脚本，在无意中下载了窃密软件。这导致攻击者能够提取持久内存数据，并在企业系统内部进行横向移动，这一系列黑客攻击手法非常典型。

2 月初，第二个攻击行动“通过 ClawHub 实施自动化技能投毒”出现在了 OpenClaw 的社区市场。由于该平台采用了开放发布模式且缺乏严格的代码审查机制，攻击者得以从看似可信的 GitHub 账户（如 Hightower6eu）上传带有后门的“技能”。这些恶意更新会执行远程 shell 命令，使攻击者能够实时窃取 OAuth 令牌、密码和 API 密钥。

2026 年 2 月 18 日的 Shodan 扫描数据显示，超过 31.2 万个 OpenClaw 实例运行在默认端口 18789 上，其中许多实例未启用身份验证且直接暴露在互联网中。

与此同时，暴露的管理界面进一步加剧了这场安全危机。蜜罐部署记录显示，系统在暴露于互联网后的几分钟内，就会遭到攻击尝试。OpenClaw 安全事件标志着一个关键转折点，它揭示了自研 AI Agent 生态系统的安全性问题——有组织的威胁团体能够快速适应环境，并将那些优先考虑功能而非网络安全的生态系统武器化。

随着 OpenAI 吸纳了 OpenClaw 的核心开发者，安全专家警告称，这些事件凸显了在未来 AI 框架开发中，采用“安全设计”方法的紧迫性。Flare 建议，所有使用或测试自主 AI 助理的企业，都应妥善保护好其 API 凭证，并将 AI 工作负载进行有效隔离。

参考来源：
Multiple Hacking Groups Exploit OpenClaw Instances to Steal API key and Deploy Malware
https://cybersecuritynews.com/hacking-groups-exploit-openclaw/

文章来源 ：FreeBuf

写在最后： 随着开源项目和自研框架的普及，安全风险也在同步升级。对开发者而言，持续关注漏洞动态、加强运维监控与隔离策略至关重要。如果你想与其他开发者交流最新的安全威胁与防御实践，欢迎来云栈社区一起讨论。