2026年初,开源AI项目OpenClaw(俗称“AI龙虾”)在GitHub平台迅速升温,仅用时一天即收获超过9000次星标,两周内便达到17万的热度。其标志性的小龙虾图标一时间成为科技社群讨论焦点,吸引大量开发者和普通用户跟进部署。
然而,伴随OpenClaw的快速走红,大规模暴露的安全问题也接踵而至。为了让这个智能体实现全天候在线运行,不少用户直接选择在云服务器上进行部署,但由于多数人不具备相应安全基础,项目配置中普遍留下了严重隐患。
主要风险集中在一处——OpenClaw在默认状态下会通过18789端口来提供控制功能。许多部署方没有设置足够的身份验证,更没有进行访问限制,这使得该接口暴露于公网,很容易被网络扫描工具探测并侵入。据当前统计,已经扫描到的未受保护的“龙虾”实例高达27万以上。
一旦攻击方连入这个接口,便能直接获得具备最高系统权限的AI代理操控权。原本用来提高效率的人工智能工具,转眼会沦为他人控制服务器或主机的前站。面对这种局面,OpenClaw核心维护人员Shadow在公开表态中警告说,若连基本命令行操作都不了解,则该项目对使用者来说风险过高,盲目部署并缺乏安全保障就如“将家门钥匙直接挂在街上”。
安全专家也随之警示,OpenClaw模糊的信任边界及其本身持续运行、自主调配系统资源的能力构成了巨大隐患。在缺失严格的权限审核流程条件下,程序易受诱导指令或恶意入侵影响。由此产生的高权限滥用行为,不仅可能导致个人敏感数据外泄,更可能令整个系统被他人控制。
用户利用这一技术的便利与红利之际,应对其部署状态展开仔细检查:确认是否存在不必要外放端口、完善身份核实及加密防护机制,以此守住底线安全防线。毕竟,一次不经意的配置失误,完全可能引发一场全盘失控的危机。
