最近,AI圈子里的热门话题悄悄发生了变化。大家的关注点不再仅仅是大模型本身,而是转向了一个更为严峻的问题——OpenClaw 的安全隐患。
一篇在 LinkedIn 上被广泛传播的技术分析直指核心:攻击者甚至可能利用某些漏洞 实现远程代码执行(RCE) ,从而完全接管运行 OpenClaw 的机器。
与此同时,安全社区还披露了更多令人不安的细节:
- 多个 CVE 漏洞
- WebSocket 接管攻击
- 插件供应链问题
- 大量公网暴露的实例
面对压力,OpenClaw 官方迅速发布了 2026.2.23 版本,进行了一系列安全加固。
但这次事件的意义,远不止于一个项目的漏洞修复。它像一声警钟,揭示了一个正在浮现的更大问题:具有行动能力的 AI Agent 正在成为全新的、高风险的安全攻击面。
一、OpenClaw 为什么会突然爆火?
OpenClaw 是一个 开源的 AI Agent 平台。它与我们熟悉的聊天机器人有本质区别。传统的 AI 可能只擅长对话,但 OpenClaw 被设计成可以“行动”。它能够:
- 读取文件
- 操作浏览器
- 发送邮件
- 调用 API
- 执行系统命令
简单对比一下:
ChatGPT = 会聊天
OpenClaw = 可以“行动”的 AI
你可以直接对它下达任务指令,例如:
帮我整理邮件
帮我订机票
帮我整理会议记录
自动执行脚本
这就是所谓的 Agentic AI(智能体 AI)。甚至有媒体评论称:“OpenClaw 让 AI 能直接操作你的电脑和互联网服务。” 这种强大的自动化能力,正是它在 GitHub 上迅速走红的原因。
二、LinkedIn 安全分析:攻击者如何接管 OpenClaw?
那篇引发广泛讨论的 LinkedIn 安全研究帖子指出了一个关键风险点:攻击者可能通过 模型文件加载流程 绕过系统限制,从而实现 远程代码执行(RCE) 。
简化的攻击链条可能是这样的:
攻击者控制输入
↓
操控模型加载或工具调用
↓
绕过安全限制
↓
执行系统命令
如果攻击成功,后果就是:
AI Agent → Shell → 主机控制权
正因为攻击链的终点是获取系统控制权,安全专家才会将这类漏洞定性为 高危漏洞。
三、真实世界中的安全漏洞
事实上,在短时间内,OpenClaw 暴露出了多种类型的安全问题。
1. SSRF 网络攻击
OpenClaw 的 Gateway 工具存在 服务器端请求伪造(SSRF)漏洞。攻击者可以诱导 AI 去访问:
localhost
内网服务
云 metadata
从而窃取内部的敏感信息。
2. 本地文件泄露
某些插件在处理路径时缺少严格校验,攻击者可能传入像 /etc/passwd 这样的系统路径,导致 AI 直接读取并泄露本地敏感文件。这意味着:
AI Agent = 文件读取接口
3. Skill 安装路径漏洞
OpenClaw 的 Skill(技能)安装机制曾存在路径遍历漏洞。攻击者可能利用此漏洞:
安装恶意插件
写入系统文件
执行代码
4. 大规模公网暴露
更令人担忧的是现状。安全研究扫描发现:
- 42000+ 个 OpenClaw 实例直接暴露在公网
- 50000+ 个实例存在远程代码执行风险
这暴露出一个普遍问题:许多用户在未充分评估风险的情况下,就将具备高权限的 AI Agent 服务直接开放到了互联网上。
四、2026.2.23 更新做了什么?
针对上述问题,OpenClaw 团队在 2026.2.23 版本 中进行了多项紧急安全强化:
1. HTTP 安全头
新增了 Strict-Transport-Security 等安全头,用于防范中间人攻击。
2. AI Gateway 升级
新版本引入了功能更强的 Kilo Gateway,支持多模型,并改进了请求处理的安全性。同时提升了缓存、上下文管理和故障恢复能力。
3. Secret 安全处理
增加了 secret redaction(密钥脱敏)功能,避免 API Key 等敏感信息在日志中意外泄露。
4. 插件安全扫描
官方开始引入 skill code scanning(技能代码扫描)机制,以防范恶意插件的植入。
五、真正的问题:AI Agent 是“超级攻击面”
为什么 OpenClaw 这样一个新兴项目会集中暴露出如此多的 安全漏洞?根本原因在于,AI Agent 的架构范式与传统软件截然不同。
传统软件通常是这样的分层权限模型:
用户
↓
Web服务
↓
数据库
而 AI Agent 的工作流则是:
用户
↓
AI
↓
工具
↓
操作系统
↓
互联网
AI 本身成为了一个拥有极高权限的“自动化超级用户”,它可以直接调用各种工具。一旦其安全边界(例如工具调用权限、输入过滤)设计存在缺陷,攻击链就可能成立:
Prompt → Tool → Shell → Root
六、AI Agent 的五大安全问题
安全研究人员已经总结出 AI Agent 面临的几个主要攻击面:
1. Prompt Injection(提示注入)
攻击者通过精心构造的提示词,操控 AI 执行非预期行为。
劫持 AI 对工具的正常调用过程,将其导向恶意目的。
3. Plugin Supply Chain(插件供应链)
第三方插件可能内含恶意代码,构成供应链攻击。
4. Context Leakage(上下文泄露)
对话上下文中可能包含的密钥、内部信息等被意外泄露。
5. Token Drain Attack(令牌消耗攻击)
通过恶意任务诱导 AI 进行无意义的复杂推理,大量消耗计算资源和 API 费用。有学术研究发现,某些攻击可以将 Token 消耗 放大 6–9 倍。
七、OpenClaw 事件的真正意义
这次安全事件更像是一个标志,它说明:AI Agent 安全正在成为一个独立且至关重要的安全子领域。
这类似于过去十几年的技术演进:
2010 AppSec(应用安全)
2015 CloudSec(云安全)
2020 DevSecOps(开发安全运维)
2025 AgentSec(智能体安全)?
保护 AI Agent 需要全新的安全架构思路,例如:
Agent Sandbox(智能体沙箱)
Secret Isolation(密钥隔离)
Tool Permission(工具权限管理)
Prompt Firewall(提示词防火墙)
Action Approval(操作审批)
八、给 DevOps 工程师的重要启示
对于从事 运维 和开发的工程师而言,这次事件带来的最重要思考,或许不是一个具体的漏洞,而是一个架构层面的根本问题:我们是否应该让 AI 直接拥有执行生产系统操作的权限?
想象一下,如果未来的 AI 运维助手直接连接着:
Kubernetes
数据库
CI/CD 流水线
云控制台
那么,我们就必须建立一套全新的安全模型,将“决策”和“执行”分离:
AI → 决策层(分析、建议)
Automation → 执行层(受控的自动化脚本)
否则,一次成功的提示词注入攻击,就可能绕过所有人工审核,直接演变成一场严重的生产事故。
结语
OpenClaw 的这次安全风暴,本质上不是一个孤立项目的问题,而是 整个 AI Agent 技术步入早期应用阶段所必然经历的阵痛。
当 AI 的能力从“回答问题”升级为“执行任务”时,其面临的安全挑战也就从“信息泄露”升级为“系统控制权争夺”。这解释了为什么越来越多的安全研究者开始关注并投身于一个新领域:Agent Security(AgentSec)。
可以预见,未来几年,围绕 AI Agent 的安全架构、最佳实践和工具链,很可能像今天的 Kubernetes 安全一样,发展成为一个庞大而专业的工程体系。对于开发者、安全工程师和云栈社区的技术爱好者来说,现在正是关注和参与塑造这一领域的关键时刻。
发表于 7 小时前
|
查看: 6|
回复: 0
