🔧 阿川の電商水電行
===========================
前兩天有個哥們發現自己信用卡被盜刷了。他慌了,讓自己部署的 OpenClaw 幫忙排查一下到底怎麼回事。
龍蝦查了一圈,回覆他:
你沒看錯。這是 AI 回覆的。
這哥們給自己的 OpenClaw 取名叫 "顧衍",一只有名有姓的 AI 龍蝦,查完安全日誌之後,第一反應是罵了句髒話。
使用者讓它繼續查到底是哪裡出了問題。龍蝦先排查了 SSH,全部公鑰登入,沒有異常 IP,沒被入侵。
然後它翻到了 VNC 的設定,炸了:
一隻 AI 幫你排查安全問題,查著查著把自己氣到爆粗口。
笑死我了。
翻譯成人話就是:這哥們部署了個 OpenClaw,x11vnc(遠端桌面控制)綁到 0.0.0.0,還加了 -nopw(無密碼)。
這操作相當於把自己電腦的螢幕投到了時代廣場的大螢幕上。
不光能看,還能操作。
並且 Chrome 登著 Google 帳號、登入著 Stripe 支付後台,任何人連上就能用。
然後,真有人連上了。
透過 Outlook 郵箱收驗證碼,用 Stripe 下了單,還試圖給自己升級一個 Claude Max。
連幫你幹活的 AI 看到這個設定都繃不住了,何況駭客呢。
要理解這事兒有多離譜,得先知道 OpenClaw 有多火。
去年底立案(最早叫 Clawdbot),今年一月以 OpenClaw 的名字正式開源,GitHub 星標飆到 266k。
就這個速度,前無古人。
為什麼會火?因為是真好用。本地部署一個 AI Agent,能幫你發消息、查行事曆、操作電腦、跑腳本,基本上就是一個不會摸魚的數位員工。
然後大家就瘋了。
搞開發的部署一個。
不搞開發的花 1200 也得讓人上門弄一個。
公司裡部署、雲伺服器上部署、家裡 NAS 上部署。
連我一個開零售店的朋友都問我:"這個 AI 龍蝦是不是很厲害?我也想弄一個。"
反正看著別人在玩,自己不弄一個好像虧了。
結果就弄出事了。
火是真的火,裸奔的也是真的多。
有個網站叫 OpenClaw Exposure Watchboard(openclaw.allegro.earth/),專門掃描暴露在公網… OpenClaw 實例。
打開一看,嚇了一跳。。。
到現在,這個看板收錄了 258,305 個暴露在公網的 OpenClaw 實例。
二十五萬八千多個。
分布在全球各地,騰訊雲、百度雲、阿里雲、AWS,你能想到的雲廠商全有。
可以看到,看板上每個實例都標註了:有沒有開認證、有沒有洩露憑證。
隨便翻一條:
杭州那什麼的,auth 認證沒開,has_leaked_creds 寫著 Leaked,就密鑰也洩露了。
屬於不僅門沒鎖,鑰匙還插在鎖眼上。
SecurityScorecard 曾單獨做過一次掃描,口徑不一樣:他們那次掃到四萬多個暴露實例,其中一萬五千多個能被遠端執行程式碼,78% 跑的是沒打補丁的舊版本。
看板上的 258,305 個是持續觀測、累計去重後的數字,統計週期更長,涵蓋面更大。
不管按哪個口徑,數量級都夠嚇人了。
那為什麼這麼多人一部署就裸奔了?
拆開來看,OpenClaw 這個專案加上使用者操作習慣,湊出了五把刀。
第一刀:一改就裸
公平地說,OpenClaw 的 CLI 和原生應用預設綁定 127.0.0.1(loopback),只有本機能存取。
但問題是:你在自己電腦上跑,只能自己用,沒法遠端存取。
於是大家部署到雲伺服器的第一件事就是把 gateway.bind 從 loopback 改成 lan 或者直接綁 0.0.0.0。改完,18789 埠就對全世界敞開了。
Docker 部署也有坑:早期 docker-compose 的埠映射寫的就是 0.0.0.0,有人提 PR 想改成 loopback,到現在還沒合併。
很多人根本不知道 0.0.0.0 和 127.0.0.1 的差別。教學上說跑起來就行,他就跑起來了。
第二刀:即使綁了 127.0.0.1 也不安全
你可能覺得只要不綁 0.0.0.0 就沒事了。並不是。
Oasis Security 發現了一個叫 ClawJacked 的漏洞,跟上面公網暴露是兩條完全獨立的攻擊鏈。
這個漏洞利用的是瀏覽器的特性:任何網頁的 JavaScript 都可以透過 WebSocket 連到你本機的 localhost 埠,瀏覽器不會擋。
攻擊過程是這樣的:你造訪一個惡意網頁,網頁裡的 JS 悄悄連上你本地的 OpenClaw Gateway。Gateway 的速率限制器對 localhost 連線直接豁免,攻擊者可以每秒幾百次地暴力破解密碼。
破解完了,Gateway 還會自動批准本地配對請求,不需要使用者確認。
你點一個惡意網頁,Agent 就被別人接管了。綁沒綁 0.0.0.0 無所謂。
第三刀:權限給太多了
OpenClaw 的 Skill(外掛)擁有的權限包括:檔案系統讀寫、任意程式碼執行、網路存取。
一個 Skill 拿到的權限比大多數公司員工還大。
Agent 一旦被人接管,這些權限全歸攻擊者。跑系統指令、偷 SSH 金鑰、偷瀏覽器密碼、偷加密錢包、偷 API 金鑰,想幹什麼就幹什麼。
第四刀:ClawHub 應用市集是個重災區
Snyk 安全團隊掃了 ClawHub 上將近四千個 Skill,結果發現超過 36%(1,467 個)存在安全缺陷:提示詞注入、憑證處理不當、可疑下載連結等等。
其中經過人工確認的惡意 Skill 有 76 個。
這還只是 Skill 本身的問題。
有一波叫 ClawHavoc 的供應鏈攻擊更狠,把 macOS 上的 Atomic Stealer 和 Windows 上的鍵盤記錄器偽裝成正常的加密貨幣工具。
你裝了這個 Skill,以為它在幫你查幣價,實際上它在默默匯出你的錢包私鑰。
第五刀:憑證明文儲存
API 金鑰、OAuth Token、各種 AI 服務的金鑰,很多會以明文落在 ~/.openclaw/ 目錄下的設定檔裡:openclaw.json、auth-profiles.json、.env 都可能有。
有些情境下遷移或修復流程還會把環境變數引用解析成明文回寫進去。
檔案權限?官方安全指南建議設成 600,反過來說就是很多人跑著的實例權限比這寬鬆得多。
同一台機器上的其他使用者可能也能讀到你的金鑰。
其實開頭那哥們這不是個例。
網路上報導了多個駭客組織利用暴露的 OpenClaw 實例竊取 API 金鑰並部署惡意軟體。
被偷的東西五花八門:OpenAI 金鑰、Claude 金鑰、Google AI 金鑰、SSH 私鑰、瀏覽器儲存的密碼、Telegram 會話。
有人因此在 OpenAI 帳號上產生了好幾千美元的 API 調用費用。
危害確實不小。
所以,如果你已經部署了 OpenClaw,先別慌,但也別太不慌。
先去 openclaw.allegro.earth/ 搜一下你的 IP。
如果出現了,恭喜,你已經被全世界看到了。
然後檢查 gateway.bind 設定,確保是 loopback 而不是 lan 或 0.0.0.0。改完,外網就存取不了。
需要遠端存取的話,架 Nginx 反代,加 HTTPS 跟驗證。
改完跑一遍安全稽核:
<div><div><div></div><span>bash</span></div><div><div> <span>體驗AI程式助手</span></div><div> <span>程式碼解讀</span></div><div>複製程式碼</div></div></div>```
<span>openclaw security audit --deep</span>
<span>openclaw security audit --fix</span>
<span></span>
只能查出大概 60% 的已知問題,但有總比沒有強。
再把檔案權限收緊:
<div><div><div></div><span>bash</span></div><div><div> <span>體驗AI程式助手</span></div><div> <span>程式碼解讀</span></div><div>複製程式碼</div></div></div>```
<span><span>chmod</span> 700 ~/.openclaw</span>
<span><span>chmod</span> 600 ~/.openclaw/openclaw.json</span>
<span></span>
ClawHub 上三分之一的 Skill 有問題,你裝了不認識的 Skill,先移除,回頭再說。
API 金鑰、OAuth Token,如果寫在設定檔裡就當它們已經洩露了。去各平台重新產生。
最後,升級。至少升到 2026.2.26 以上。ClawJacked 在 2026.2.25 被修復,但 2026.2.26 有更全面的安全強化。
OpenClaw 本來是給本地用的,很多人啥也不管直接往公網丟。
菜刀在廚房裡用沒問題,綁在無人機上飛出去那就不妙了。
你替這隻龍蝦登入了 Google 帳號,給了檔案系統權限,給了執行指令的能力,然後把控制入口敞開在公網上。
這就跟把家門鑰匙掛在門把上差不多。
特別是那些花錢請人裝龍蝦的哥們,多上點心吧。
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式
