文章总结： 文档报道了OpenClaw开源自主AI框架在2026年初大规模部署后，72小时内即遭黑客组织系统性攻击，导致超3万个实例被攻陷。攻击者利用远程代码执行漏洞、供应链投毒、技能市场后门及公网暴露等缺陷，窃取API密钥、劫持消息流量并分发恶意软件。事件暴露了AIAgent框架默认高权限运行、缺乏安全基线等结构性问题，标志着AIAgent安全风险已从数据泄露升级为行为劫持。文章为企业提供了运行隔离、凭证管理、网络控制、插件管理和行为监控等加固建议。 综合评分： 78 文章分类： AI安全,恶意软件,漏洞分析,威胁情报,供应链安全

【安全圈】OpenClaw 被大规模利用，上千实例沦陷

安全圈

2026年2月24日 19:02 美国

关键词

OpenClaw

2026年初，一款名为 OpenClaw 的开源自主 AI 框架在技术社区迅速走红。然而，仅在大规模部署后的 72 小时内，多支黑客组织便开始针对其展开系统性攻击。

安全研究机构披露，目前已有超过 30,000 个 OpenClaw 实例被攻陷，用于窃取 API Key、劫持消息流量，并通过 Telegram 等渠道分发信息窃取型恶意软件。

这并非一次普通漏洞利用事件，而是 AI Agent 生态首次遭遇大规模武器化攻击。

一、OpenClaw 为何成为高价值攻击目标

OpenClaw 由开发者 Peter Steinberger 创建，后加入 OpenAI。该框架定位为“自主执行任务的 AI Agent”，支持本地文件系统访问、长期记忆存储、API 调用及插件扩展。

其核心架构具备以下特征：

• 具备系统级访问权限
• 支持持久化记忆
• 可读取环境变量与凭证
• 可调用外部服务 API
• 支持社区技能市场
• 默认监听端口 18789

这意味着，一旦攻击者获得执行权限，不仅可以窃取数据，还可以利用 Agent 代替用户执行操作，形成持续性控制。

二、72 小时内爆发的攻击链

1. 远程代码执行漏洞（CVE-2026-25253）

攻击者利用高危 RCE 漏洞实现任意命令执行，随后：

• 读取环境变量
• 提取 OpenAI、GitHub、AWS 等 API Key
• 建立持久后门
• 进行横向移动

如果 OpenClaw 部署在 CI/CD 环境或开发服务器，其影响范围将迅速扩大。

2. “ClawHavoc”供应链攻击

1 月 29 日，被命名为 “ClawHavoc” 的攻击活动被发现。

攻击者伪装成加密工具的 setup 脚本，在 macOS 上投放 Atomic Stealer，在 Windows 上植入键盘记录器。大量用户在不知情的情况下执行恶意脚本，导致系统与凭证被全面接管。

该攻击利用了开源社区的信任机制，通过伪装正常 GitHub 账号发布更新，绕过基本审查。

3. 技能市场投毒

OpenClaw 允许开发者上传“技能（Skills）”扩展功能，但平台缺乏代码审核与签名机制。

攻击者上传带后门的技能，一旦用户自动更新：

• 恶意代码立即执行
• OAuth Token 被实时窃取
• API Key 被回传至远程服务器

这是一种典型的自动化供应链污染模式。

4. 大规模公网暴露

2 月中旬扫描显示，超过 300,000 个 OpenClaw 实例运行在默认端口 18789，其中大量未启用认证机制。

多处蜜罐记录显示，实例暴露后数分钟内即遭扫描与利用尝试。

这说明攻击已实现自动化批量利用。

三、为何这是 AI 安全的转折点

传统 Web 服务被攻破，通常带来数据泄露风险。

但 AI Agent 被攻破，风险升级为“行为劫持”。

攻击者不仅窃取数据，还可以：

• 操控 Agent 执行恶意操作
• 伪造合法请求
• 自动滥用账户权限
• 扩散至企业内部系统

当一个系统具备“代用户行动”的能力，其安全模型必须重构。

OpenClaw 事件说明，自主 AI 框架正在成为新的攻击面。

四、暴露的结构性问题

此次事件暴露出多个设计缺陷：

1. 默认高权限运行
2. 未限制系统调用
3. 无技能签名机制
4. 默认端口暴露公网
5. 缺乏威胁建模

AI 框架在追求功能能力的同时，未建立完整的安全基线。

这为攻击者提供了极低门槛的利用环境。

五、企业侧加固建议

对于正在测试或使用类似自主 Agent 框架的企业，应立即采取以下措施：

1. 运行隔离

• 使用容器或沙箱运行
• 禁止 root 权限
• 限制系统调用

1. 凭证管理

• 禁止明文环境变量
• 使用专用 Secrets 管理系统
• 启用短期 Token

1. 网络控制

• 禁止默认端口公网暴露
• 增加反向代理认证
• 启用 IP 白名单

1. 插件管理

• 禁止自动更新
• 实施代码签名校验
• 建立技能白名单机制

1. 行为监控

• 监控异常 Shell 调用
• 审计外联流量
• 检测异常文件访问

六、结语：Agent 安全时代已经开始

OpenClaw 事件不是孤例，而是趋势。

当 AI Agent 具备系统访问能力与自动执行能力，其安全风险已经超越传统应用。攻击者正在将其纳入自动化攻击工具链。

未来，AI 框架若不采用“安全优先设计”，将持续成为高危入口。

这场攻防战，已经进入新的阶段。

END

阅读推荐

【安全圈】飞牛 fnOS 漏洞被批量利用

【安全圈】年薪50万还不够？3名大厂员工兼职做黑产被抓

【安全圈】荷兰电信巨头 Odido 遭入侵：620 万用户数据泄露

【安全圈】英国不跟欧盟“硬刚”：对苹果、谷歌采取“轻监管”路线

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】OpenClaw 被大规模利用，上千实例沦陷》