3月10日消息,2026年开年,一个名为OpenClaw的开源项目以闪电般的速度席卷了GitHub。它在短短一天内就斩获了9000颗星,两周后星标更是突破了17万。一时间,标志性的小龙虾图案登上了各大社交平台的头版,成为科技圈最炙手可热的话题。
然而,随着OpenClaw的爆发式走红,第一批受害者已经开始出现。为了让这款AI智能体能够24小时持续运行,越来越多的人选择将其部署在云服务器上,但由于缺乏安全防护意识,很多用户在配置时留下了巨大的隐患。
许多用户在部署过程中,不小心将控制接口直接暴露在了公网环境下。OpenClaw默认通过18789端口提供控制服务,如果没有设置严格的身份验证,任何网络扫描工具都能轻易锁定它的位置。
一旦这些接口被攻击者连接,对方就能直接掌控一个拥有系统最高权限的AI代理。原本为你提供便利的工具,瞬间就会变成别人控制你电脑或服务器的跳板。目前,被扫描出的处于裸奔状态的龙虾实例已经高达27万只。
针对这一乱象,OpenClaw的一位维护者Shadow在社交平台上直言不讳地指出,如果使用者连基础的命令行操作都不会,那么这个项目对你来说实在太危险了。盲目部署而不懂安全配置,无异于将自家大门的钥匙挂在了大街上。
安全专家也对此发出了紧急提醒,OpenClaw在部署时存在明显的信任边界模糊问题,且由于它具备持续运行和自主调用系统资源的能力,在缺乏权限审计机制的情况下,非常容易受到指令诱导或被外部恶意接管。
这种越权操作的风险极高,可能导致严重的个人信息泄露或系统彻底受控。用户在享受AI技术红利的同时,必须核查暴露情况,关闭不必要的访问端口,并完善身份认证与加密机制,守住最基本的安全红线。(振亭)
