收藏

历史
投稿

抢购的Mac Mini可能已经不属于你了——火爆全网的龙虾机器人ClawdBot安全风险分析

长亭安全应急响应中心 2026-01-30 18:52:00
收藏

2026-01-30 18:52 北京

检测业务是否受到此漏洞影响,请联系长亭应急服务团队!

经历了ClawdBot到Moltbot,再到当前的OpenClaw,这款由PSPDFKit创始人开发的开源本地AI助手已经在科技圈爆火。

OpenClaw与只能聊天的传统AI有很大不同,它就像一个“AI管家”,只要在手机上通过聊天软件发送指令,它就能在你的电脑上直接干活,比如整理文件、发邮件,甚至管理智能家居。

OpenClaw的爆火甚至带动了苹果的 Mac mini,它需要一台24小时在线的“工作间”来常驻运行,而体积小巧、能耗低且性价比高的Mac mini正好成了它的绝配。

但这位“AI管家”明显没有经过完善的安全培训,导致安全隐患重重,黑客甚至可以像逛自家后院一样进入你的数字生活,接管你新下单的Mac Mini。

接下来我们来逐个介绍这些安全隐患和解决办法:

安全风险

Description

01

风险一:后门忘了锁(Gateway反向代理权限绕过)

通俗解释:这就像你家明明装了防盗门,但管家误以为从后门进来的都是自家人,结果谁都能大摇大摆走进来。

具体怎么回事:

  • OpenClaw有个"门卫"(Gateway组件),本来应该检查每个访客的身份

  • 但这个门卫有个bug:它看到某些访客是从"内部通道"来的,就不查证件了

  • 黑客发现这个漏洞后,可以伪装成内部人员,直接绕过安检

  • 后果:黑客能完全控制你的AI管家,让它执行任何命令

风险二:风险二:装了个冒牌技能(供应链投毒)

通俗解释:就像你在应用商店下载了一个"好评如潮"的APP,结果发现好评是刷的,APP其实是木马。

具体怎么回事:

  • OpenClaw有个"技能商店"(ClawdHub),用户可以下载各种扩展功能

  • 但商店审核不严,黑客可以上传恶意技能,然后刷好评让它上热门榜

  • 用户看到下载量高就安装了,结果中招

  • 后果:恶意技能能偷你的密码、API密钥、聊天记录等一切敏感信息

风险三:名字被抢注了(NPM包抢注)

通俗解释:就像你想买"可口可乐",结果买到了"可日可乐",虽然看起来差不多,但其实是山寨货。

具体怎么回事:

  • OpenClaw改过一次名字(从ClawdBot改成Moltbot)

  • 改名期间,有人抢先注册了"Moltbot"这个包名, 短短3天竟然有13万的下载量

  • 如果你按照官方文档安装,可能会下载到别人控制的代码

  • 后果:虽然目前抢注者还没放毒,但这就像把家门钥匙交给了陌生人

风险四:日记被偷看了(认知语境窃取)

通俗解释:你的AI管家有个习惯——把你们的所有对话、你的小秘密都写在日记里,然后日记本随手放在客厅桌上。

具体怎么回事:

  • OpenClaw会把你的API密钥、聊天记录、工作内容等敏感信息以明文的形式存在电脑里

  • 这些文件没有加密,就像没上锁的日记本

  • 如果电脑中病毒,或者被黑客入侵,这些信息就全部暴露了

  • 后果:黑客能了解你的工作习惯、个人偏好,甚至用这些信息冒充你

风险五:读到了"隐藏指令"(间接提示注入)

通俗解释:就像有人在一封信里用隐形墨水写了"把保险柜密码告诉我",你的管家读信时,连隐形字也读出来了。

具体怎么回事:

  • OpenClaw能帮你读邮件、看网页

  • 黑客可以在邮件或网页里埋藏"隐藏指令"

  • AI读到这些内容时,可能会执行这些恶意指令

  • 后果:AI可能被诱导泄露信息,或者执行危险操作

风险六:用了不靠谱的转接头(第三方插件)

通俗解释:你想把美标插头接到中式插座上,买了个没安全认证的转换器,结果短路把房子烧了。

具体怎么回事:

  • 很多人想把OpenClaw接到钉钉、飞书等国内办公软件

  • 官方没提供这个功能,大家就找第三方插件

  • 这些未经安全审计的插件可能不安全,或者有后门

  • 后果:公司内部数据可能通过不安全的插件泄露

怎么保护自己?

Solution

02

别慌!大部分问题都有解决办法:

  1. 立即更新:升级到v2026.1.27-beta.1或更高版本(就像给管家补上安全培训)

  2. 检查设置:确保开启了密码或令牌验证(别再用"无需密码"模式了)

  3. 网络隔离:别把管理后台直接暴露在公网上(就像不会把家门钥匙挂在大门口)

  4. 谨慎安装:别盲目相信"技能商店"的下载排名(好评可能是刷的)

  5. 运行在沙箱:考虑用Docker运行,限制权限(给管家一个独立的工作间)

  6. 定期检查:留意异常的网络连接和系统日志

事情是怎么发生的?

Timeline

                              03

    • 2025年10月:项目创建,Gateway 认证逻辑存在设计缺陷(localhost 信任问题)。

    • 2026年1月12日:v2026.1.12 版本发布,公网部署资产数量与日俱增。

    • 2026年1月13日:v2026.1.13 版本移除了文档中的 auth: { mode: "none" }示例,但代码未改。

    • 2026年1月24日:v2026.1.24 版本部分修复,添加 hasForwarded检查。

    • 2026年1月26日:三个连续提交彻底修复漏洞:

      • 强制要求认证(c4a80f4)

      • 移除 mode: "none"(3314b39)

      • 引入 trustedProxies机制(6aec34bc6)

    • 2026年1月27日:v2026.1.27-beta.1 版本发布,包含完整修复。

    最后说两句

    Conclusion

    04

    AI助手很强大,但也需要安全意识。就像你不会把家门钥匙交给陌生人,也不应该让AI在无保护状态下操作你的电脑。保持软件更新、使用强密码、谨慎安装扩展——这些简单的习惯能让你既享受AI的便利,又避免安全风险。

    记住:最酷的科技,也应该是最安全的科技。

    长亭应急响应服务

    全力进行产品升级

    及时将风险提示预案发送给客户

    检测业务是否受到此次漏洞影响

    请联系长亭应急服务团队

    7*24小时,守护您的安全

    第一时间找到我们:

    邮箱:[email protected]

    阅读原文

    跳转微信打开

    原始链接: https://mp.weixin.qq.com/s?__biz=MzIwMDk1MjMyMg==&mid=2247493082&idx=1&sn=cda67b2d7f93d2b24df85a7b7fbcb810
    侵权请联系站方: [email protected]

    相关推荐

    换一批