Meta 等科技巨头因安全隐患全面禁用 OpenClaw。512 个漏洞、1000 个裸奔实例、被投毒的插件市场——当 AI Agent 不带安全架构就上线,这就是代价。
512 个漏洞,8 个致命级
2026 年 1 月底的一次安全审计在 OpenClaw 中发现了 512 个漏洞,其中 8 个为"致命级",包括一个一键触发的远程代码执行漏洞 (CVSS 8.8) 和两个命令注入漏洞。
根本原因在于认证模型:OpenClaw 默认信任 localhost——没有密码,没有 token。大多数部署在 nginx/Caddy 等反向代理后面,所有入站连接看起来都来自 127.0.0.1。外部请求畅通无阻,系统"自动交出了王国的钥匙"。
Shodan 扫描发现约 1,000 个公开可访问的零认证 OpenClaw 实例。研究人员成功获取了 Anthropic API 密钥、Telegram 机器人令牌、Slack 账户以及数月的完整聊天记录。他可以冒充用户发送消息,并以完整的系统管理员权限执行命令。
被投毒的插件市场
1 月 27 日至 2 月 1 日期间,超过 230 个恶意插件被发布到 ClawHub——OpenClaw 的公开技能注册中心——并被下载了数千次。最终清查发现 2,857 个技能中有 341 个(约 12%)是恶意的。
攻击载荷包括窃取文件、加密钱包、种子短语、macOS 钥匙串数据、浏览器密码和云凭证的"AuthTool"窃密木马。本质上,这就是 npm/PyPI 供应链攻击模式被搬到了 AI Agent 插件生态,但爆炸半径更大——因为 Agent 默认拥有系统级访问权限。
这不是 OpenClaw 独有的问题
OpenClaw 并非"独家崩坏"。它只是一种通用模式中最显眼的案例。任何具有广泛系统访问权限的 AI Agent 都面临相同的结构性风险:
- Agent 拥有能力——文件访问、Shell 执行、网络请求
- Agent 处理不受信任的输入——邮件、文档、代码、网页内容
- 没有任何机制评估 Agent 用这些能力做了什么
剥离具体的 CVE 和插件恶意软件,底层是同一个架构缺口。Claude Code、Codex、Cursor、Aider——任何让 LLM 访问你系统并根据它读到的内容行动的工具,都有相同的根本性暴露。差异在于严重程度,但风险的形态完全相同。