OpenClaw 暴露实例安全警报：数百个公网实例面临严重风险

近日，有人收集并公开了所有暴露到公网的 OpenClaw 实例。这个项目通过扫描全网，发现了大量未受保护的 OpenClaw 部署，其中一些甚至存在凭证泄露和已知漏洞。考虑到 OpenClaw 使用个人密钥、权限极大、全自主运行，且代码量庞大未经审核，这些暴露实例带来了严重的安全风险。

项目简介

该项目的网站地址为：https://openclaw.allegro.earth

项目持续扫描并监控所有暴露在公网的 OpenClaw 实例，记录以下关键信息：

监控指标

• Endpoint - 暴露的 IP 地址和端口（默认端口 18789）
• Assistant Name - 助手名称（部分实例泄露了用户自定义名称）
• Country - 实例所在国家/地区
• Auth Required - 是否启用认证
• Is Active - 实例是否在线
• Has Leaked Creds - 是否存在凭证泄露
• ASN/ISP - 托管服务商信息
• First Seen/Last Seen - 首次发现和最后活跃时间
• Has Breach - 是否遭受过入侵
• Has Threat Actor - 是否关联已知威胁组织
• Threat Actors - 关联的 APT 组织列表
• CVEs - 存在的已知漏洞
• Domains - 关联的域名信息

发现的严重问题

凭证泄露

多个实例显示 "Leaked" 状态，意味着：

• API 密钥可能已泄露
• OAuth 凭证可能被窃取
• 会话令牌可能失效
• 其他敏感凭证可能外泄

威胁行为者关联

部分实例关联了已知的 APT 组织，包括但不限于：

• APT28 - 俄罗斯军事情报局
• APT29 - 俄罗斯 SVR
• APT31 - 中国相关组织
• APT34 - 伊朗相关组织
• APT35 - 伊朗伊斯兰革命卫队
• APT41 - 中国相关组织
• Lazarus Group - 朝鲜相关组织
• Sandworm Team - 俄罗斯军事情报局
• Volt Typhoon - 中国相关组织

已知漏洞

大量实例存在多个 CVE 漏洞，包括：

• CVE-2024-6387 - OpenSSH 远程代码执行
• CVE-2023-38408 - SSH 漏洞
• CVE-2021-41617 - OpenSSH 权限提升
• CVE-2020-15778 - SCP 命令注入
• 以及其他数百个高危漏洞

托管分布

从扫描结果来看，暴露的实例主要集中在以下云服务商：

• Alibaba Cloud - 中国、新加坡、美国等地区
• DigitalOcean - 美国、欧洲等地区
• Amazon Web Services (AWS) - 美国等地区
• Hetzner - 德国等欧洲地区
• Tencent Cloud - 中国地区

为什么这很危险？

OpenClaw 的特性

1. 使用个人密钥 - OpenClaw 需要访问各种 API 密钥、OAuth 凭证
2. 权限极大 - 可以读写文件、发送消息、执行命令
3. 全自主运行 - AI 可以自主决定执行操作
4. 代码量大 - 几十万行代码，未经全面审核
5. 敏感数据 - 处理个人邮件、消息、日历等私密信息

暴露实例的风险

1. 直接攻击 - 攻击者可以尝试暴力破解或利用漏洞
2. 凭证窃取 - 泄露的密钥可能被用于其他服务
3. 数据泄露 - 个人邮件、消息、文件可能被窃取
4. 恶意操作 - 攻击者可能通过 OpenClaw 发送恶意消息
5. 供应链攻击 - 攻击者可能利用 OpenClaw 攻击其他系统

典型案例

从扫描数据中可以看到一些令人担忧的案例：

案例 1：多个凭证泄露

Endpoint: http://121.40.18.***:18789
Assistant Name: 小龙虾 (🦞)
Has Leaked Creds: Yes
Has Breach: Yes
Threat Actors: APT28, APT35, APT37, APT39...

案例 2：关联大量 APT 组织

Endpoint: http://8.215.41.***:18789
Has Breach: No
Threat Actors: APT14, APT15, APT28, APT29, APT31...
CVEs: CVE-2016-20012, CVE-2019-16905...

案例 3：无认证暴露

Endpoint: http://142.93.29.***:18789
Auth Required: - (无认证)
Is Active: true

安全建议

如果你已经在使用 OpenClaw

1. 立即检查 - 访问 https://openclaw.allegro.earth 查看你的实例是否在列表中
2. 启用认证 - 确保所有实例都启用了认证
3. 更换密钥 - 如果发现凭证泄露，立即更换所有相关密钥
4. 限制访问 - 使用防火墙限制访问来源
5. 定期审计 - 定期检查日志和凭证使用情况

如果你打算使用 OpenClaw

1. 不要直接暴露 - 使用 VPN、SSH 隧道或反向代理
2. 启用认证 - 始终启用并使用强密码
3. 最小权限 - 只授予必要的 API 权限
4. 监控日志 - 定期检查异常活动
5. 定期更新 - 保持系统和依赖项更新

最佳实践

1. 网络隔离

   bashCopy

   # 使用防火墙规则限制访问
   ufw allow from 10.0.0.0/8 to any port 18789
   ufw deny 18789

2. 启用 HTTPS

   bashCopy

   # 使用 Nginx 反向代理
   server {
       listen 443 ssl;
       location / {
           proxy_pass http://127.0.0.1:18789;
       }
   }

3. 监控凭证使用

   bashCopy

   # 定期检查 API 密钥使用情况
   openclaw credentials audit

道德和法律考量

扫描项目的争议

• 正面：帮助用户发现和修复安全问题
• 负面：可能被攻击者用于发现目标
• 法律：在某些司法管辖区可能涉及计算机犯罪法

负责任披露

该项目应该：

• 及时通知受影响的用户
• 提供修复建议
• 给予合理的修复时间
• 避免公开敏感细节

项目作者

该项目托管在 Cloudflare Pages 上，作者信息未明确公开。项目采用了以下技术：

• 前端：Astro 框架
• 数据源：持续扫描和监控
• 威胁情报：集成多个威胁情报源
• CVE 数据库：关联已知漏洞

总结

OpenClaw 作为一个强大的 AI 助手框架，为用户提供了极大的便利，但同时也带来了显著的安全风险。暴露到公网的实例可能遭受：

• 凭证窃取
• 数据泄露
• 恶意操作
• 供应链攻击

关键建议：

• ✅ 立即检查你的实例是否暴露
• ✅ 启用强认证和网络隔离
• ✅ 定期审计和监控
• ✅ 保持系统和依赖项更新
• ❌ 不要将 OpenClaw 直接暴露到公网
• ❌ 不要忽视安全警告和日志

在使用这类高权限 AI 工具时，安全应该是首要考虑因素。记住：你的 AI 助手知道你的一切，保护好它，就是保护好你自己。

相关链接

• OpenClaw 官方网站：https://openclaw.ai
• 暴露实例监控：https://openclaw.allegro.earth
• OpenClaw GitHub：https://github.com/openclaw/openclaw
• 安全最佳实践：https://docs.openclaw.ai/security

文章来源: OpenClaw 安全研究报告
最后更新: 2026-03-08