一个名为 OpenClaw 的快速发展的开源项目在开发者社区迅速走红,同时也带来了一系列安全问题。过去两周,安全研究人员发现数千个运行在公共网络上的这款人工智能代理,其中许多没有设置密码或防火墙保护。
这一发现与其说是指向某个单一漏洞,不如说是揭示了一种常见的模式:新技术传播速度远超安全部署实践的跟进速度。
什么是 OpenClaw?
OpenClaw 是一款轻量级的自动化代理,用户可以通过 Telegram、Slack 和 Microsoft Teams 等日常聊天应用控制自己的电脑。它可以连接到 OpenAI 的 ChatGPT 和 Anthropic 的 Claude 等大型语言模型,并根据指令执行任务——读取文件、发送消息、安排事件,甚至安装软件。
该工具由奥地利开发者 Peter Steinberger 开发,他因创建 PSPDFKit 文档平台而闻名。去年秋天的一个周末实验迅速发展成为 GitHub 上最活跃的项目之一,到今年一月就获得了超过 10 万颗星和数百万次的下载量。
这股势头让人们看到了本地运行的 AI 助手能做什么。同时也暴露了在不知不觉中将这类助手直接部署到互联网上是多么容易。
泄露事件的起因
一月底,Penligent Cyber Labs 的分析师开始扫描报告 OpenClaw 服务标头的系统。他们发现了大约 1800 个可在线访问的实例,其中超过一半的实例在完全没有身份验证的情况下接受连接。
Cyberpress Research 的另一份报告发现,另有 1400 个系统通过 mDNS(一种用于本地网络设备发现的功能)泄露配置数据。问题不在于软件本身存在漏洞,而在于人们的设置方式各不相同。使用默认设置和公网 IP 地址,任何运行端口扫描的人都可能发现实验性代理。
简而言之:这些代理原本不应该暴露在外,但最终还是上线了。
攻击者可能采取的行动
由于 OpenClaw 被允许代表用户执行命令,因此一个开放的端点就可能成为攻击的门户。包括思科威胁团队在内的多家公司的研究人员证明,如果身份验证被关闭,通过代理的 API 发送命令可能会触发下载或系统操作。
一些暴露的服务器还包含连接到第三方服务的明文 API 密钥。在受控演示中,只需几分钟即可发出远程命令或提取少量数据——如果不加以修复,这类错误可能会演变成真正的安全事件。
目前尚无证据表明该漏洞已被广泛利用,但测试清楚地表明,这种利用是可能的。
社区发展速度远超其安全防护措施
OpenClaw 的受欢迎程度增长速度之快,鲜有开源项目能够企及。在发展过程中,OpenClaw 经历了多次更名——Clawdbot、Moltbot,最终定名为 OpenClaw——这都是在其他公司和社区的反馈下做出的。这些更名一度造成了短暂的混乱;甚至有诈骗分子抢注了旧域名,在被查封之前投放加密货币广告。
该项目的创新性也催生了一些衍生项目。其中一个名为 Moltbook,它类似于 Reddit 论坛,人工智能代理可以在这里分享日志和任务结果。上线几天内,就有数万个代理加入,这再次印证了该生态系统发展之迅速。
Steinberger 持续协调更新工作,最近提交了 30 多个代码,改进了身份验证默认设置和 API 处理。他还鼓励用户检查服务器配置,指出许多“漏洞”实际上只是配置过于宽松所致。
安全数据告诉我们什么
对于研究人员来说,OpenClaw 是一个创新如何与实际运营相冲突的典型案例。
小的失误会迅速扩大影响。一个不安全的默认设置,如果被成千上万个分支复制,就会造成广泛的安全漏洞。
文档就是安全。清晰的设置说明与新功能同等重要。
可见性是一把双刃剑。开放的代码库可以加快开发进度,但也更容易让攻击者进行侦察。
关键不在于限制开源开发,而在于为用户提供足够的指导,让他们从一开始就能安全部署。
安全使用的实用步骤
正在试验本地或自主AI代理的团队可以通过以下几个简单的步骤来保护自己:
在容器或隔离的虚拟机中运行代理,而不是直接在主机系统上运行。
对每个Web界面和API路由强制执行身份验证,即使在私有网络之后也是如此。
除非绝对必要,否则禁用mDNS和公共端口转发。
安全地存储API密钥,切勿将其放在可见的配置文件中。
经常更新,因为社区几乎每周都会发布安全补丁。
这些步骤同样适用于OpenClaw以及任何围绕自动化和AI构建的快速发展的软件。
接下来会发生什么
OpenClaw 社区已经在努力弥补安全漏洞。开发者们正在测试沙盒命令执行、强制登录要求以及启动时自动检查风险设置等功能。但一些旧版本仍会在线存在——尤其是那些由可能不关注 GitHub 更新的普通用户部署的版本。
对于更广泛的网络安全领域而言,这预示着未来的发展趋势。随着人工智能代理的普及,暴露的实例和无人值守的自动化脚本很可能会像十年前被遗忘的 Web 服务器一样出现。
结语
OpenClaw 的发展表明,开源理念可以多么迅速地从业余代码发展成为全球基础设施。最近的安全漏洞并非否定这种精神——它们提醒我们,安全必须与创新同步发展。
随着新的人工智能工具承担我们越来越多的工作,了解它们的连接方式、存储方式和运行方式对于保障它们的安全至关重要。
