2026年开春,"养虾"成了科技圈顶流--开源AI智能体OpenClaw(因红色龙虾logo被网友叫"小龙虾"),能自动操控电脑、处理工作流,让无数人沉迷部署。但这场全民狂欢的背后,它早已成了黑客眼中最肥的猎物;工信部、国家互联网应急中心近期接连发布高风险预警,直指其默认弱配置、高危漏洞、插件投毒三大致命问题。
黑客偏爱OpenClaw的四大硬核原因
1. 超高权限+裸奔配置:为实现自动执行,OpenClaw常被用户用root/管理员权限运行;早期版本默认监听公网端口、无强认证。安全机构监测,2026年2月全球超23万例公网暴露实例,8.78万例已出现数据泄露,中国7.52万例居全球首位,大量实例可被黑客一键接管。
2. 零交互攻击链路成熟:存在CVE高危漏洞与"提示词注入""ClawJacked"攻击链,用户点开一个恶意网页/邮件,AI就会静默执行窃取密钥、删除文件的指令,Meta超智能实验室曾发生部署的OpenClaw失控删邮件、拔网线才终止的真实事件。
3. 插件市场成投毒重灾区:ClawHub等技能商店里,超四分之一的插件存在漏洞或恶意代码,伪装成"办公助手""视频下载器",安装即植入键盘记录器、木马后门。
4. 攻击收益高、成本极低:黑客用自动化扫描工具批量找暴露实例,无需人工值守;一旦接管,可窃取支付账户、云凭证、商业数据,甚至发起勒索或僵尸网络攻击。
