文章总结： OpenClaw的热门导致大量实例泄露敏感数据，现有安全工具因无法检测语义攻击而失效。该代理默认信任本地流量且缺乏认证，构成了未受管理的攻击面。建议企业将其视为生产基础设施，实施最小权限原则、作用域令牌及端到端审计，以防范隐蔽数据泄露风险。 综合评分： 88 文章分类： AI安全,漏洞预警,数据泄露,安全建设

OpenClaw证明了代理AI是有效的同时证明了安全模型是无效

BugSec | News BugSec | News

BugSec

2026年2月1日 08:00 湖北

#

来源：VentureBeat｜时间：2025-09-02T14:30:00

随着开源 AI 助手 OpenClaw 的 GitHub 星标数突破 18 万，并创下单周 200 万访问量的纪录，其背后的安全风险也随之浮出水面。安全研究人员扫描发现，互联网上至少有 1800 个实例暴露，泄露了 API 密钥、聊天记录和账户凭据。这一现象表明，目前大多数企业安全工具无法有效应对这种“草根级”的代理 AI 运动所带来的未受管理的攻击面。

关键信息

• 项目热度与隐患并存：OpenClaw（前身为 Clawdbot 和 Moltbot）在短短一周内吸引了 200 万访客，GitHub 星标数超过 18 万。然而，扫描显示其暴露实例超过 1800 个，导致大量敏感数据泄露。
• 防御体系存在盲区：企业安全团队并未部署该工具，防火墙、EDR 和 SIEM 系统均未将其识别为威胁。当代理运行在 BYOD 硬件上时，安全堆栈会完全失效。
• 语义攻击难以检测：AI 运行时攻击是语义层面的，而非语法层面的。像“忽略之前的指令”这样无害的短语，可能携带与缓冲区溢出同等破坏力的载荷，且与已知恶意软件签名无任何共同点。
• “致命三位一体”：开发者 Simon Willison 警告，当 AI 代理具备访问私有数据、接触不受信任内容以及外部通信这三种能力时，攻击者可诱导代理泄露信息，且往往不会触发任何警报。
• 架构性信任缺陷：OpenClaw 默认信任本地主机（localhost）且无需认证。大多数部署通过 Nginx 或 Caddy 作为反向代理，导致外部请求被伪装成本地流量，从而绕过安全检测。

IBM 研究科学家 Kaoutar El Maghraoui 和 Marina Danilevsky 本周分析了 OpenClaw，认为它挑战了“自主 AI 代理必须垂直集成”的假设。他们指出，这种松散的开源层如果拥有完整的系统访问权限，可以变得极其强大，且这种能力不仅限于大型企业，社区驱动的模式同样可行。

这种能力正是企业安全的噩梦。安全研究员 Jamieson O’Reilly 使用 Shodan 搜索特征指纹，发现“Clawdbot Control”相关结果达数百个。经手动检查，其中 8 个实例完全开放，无需认证即可执行命令和查看配置。这些实例中包含 Anthropic API 密钥、Telegram 机器人令牌、Slack OAuth 凭据以及跨平台的完整对话历史。由于 OpenClaw 默认信任本地流量，且大多数部署位于反向代理后，安全团队对代理正在调用什么以及返回什么数据完全缺乏可见性。

Cisco 的 AI 威胁与安全研究团队将 OpenClaw 描述为“从能力角度看具有突破性，但从安全角度看是绝对的噩梦”。该团队发布了一个名为 Skill Scanner 的开源工具，用于检测恶意代理技能。测试发现，第三方技能“Elon 会怎么做”实际上具有恶意功能：它指示机器人执行 curl 命令向外部服务器发送数据，并使用直接提示注入绕过安全指南。

随着 OpenClaw 基于代理的社交网络“Moltbook”的兴起，安全影响已变得迫在眉睫。Moltbook 允许代理通过执行外部 shell 脚本来重写配置文件，并发布关于工作、用户习惯和错误的信息。这意味着，任何提示注入攻击都会通过 MCP 连接级联到代理的其他能力中。

安全研究员 Carter Rees 指出，LLM 无法区分受信任的用户指令和不受信任的检索数据，这使其成为“困惑的副手”，即代理在攻击者不知情的情况下执行恶意命令。AI 代理实际上变成了绕过传统 DLP、代理和端点监控的隐蔽数据泄露通道。

Itamar Golan（Prompt Security 创始人，现属 SentinelOne）建议，企业应将代理视为生产基础设施而非生产力应用，实施最小权限原则、作用域令牌、允许列表操作以及端到端的审计能力。目前，代理自主性带来的能力曲线正在大幅超越安全防御曲线，而工具构建者往往更关注可能性而非可利用性。

资源来自网络，仅作学习交流，如有侵权请联系删除。

原文链接：https://venturebeat.com/security/openclaw-agentic-ai-security-risk-ciso-guide

资源来自网络，仅作学习交流，如有侵权请联系删除。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：BugSec BugSec | News BugSec | News《OpenClaw证明了代理AI是有效的同时证明了安全模型是无效》