OpenClaw 在 2026 年初的安全危机不是一夜之间发生的。它是架构决策、高速增长和一个从未为所达到的规模而设计的安全模型的可预见结果。这是完整的时间线,根据 CVE 数据库、安全研究员的披露和社区事件报告重建。
2025 年 10-11 月:崛起
OpenClaw 于 2025 年 10 月底在 GitHub 上作为开源个人 AI 智能体发布。卖点很有说服力:一个工具管理你的数字生活——邮件、日历、文件、浏览网页、消息——全部通过自然语言命令。
两周内突破 10,000 GitHub 星标。到 11 月初达到 50,000。增长由病毒式传播的演示视频驱动,展示 OpenClaw 自主处理复杂任务:"帮我订一张 800 美元以下飞东京的机票"、"审查我的 PR 并总结变更"、"为这个项目搭建开发环境"。
ClawHub 插件市场于 11 月上线,初始 200 个技能。到 11 月底已超过 1,000 个。生态增长速度超出了所有人的预期,包括 OpenClaw 团队自己。
2025 年 12 月:早期预警
安全研究员在 12 月开始提出担忧。问题都是已知的漏洞类型:
- •OpenClaw 的网关默认绑定 0.0.0.0,暴露在互联网上
- •技能以完整 OS 级权限运行——没有沙箱,没有能力限制
- •WebSocket 接口不验证 Origin 头
- •认证依赖没有过期时间的 bearer token
这些问题以 GitHub issue 形式提交。OpenClaw 团队确认了问题并加入路线图。没有发布补丁——团队在专注功能和生态增长。
到 12 月底,OpenClaw 有 100,000 颗星标和超过 100,000 个活跃实例遍布全球。
2026 年 1 月 14 日:CVE-2026-25253
第一个重大漏洞落地。安全研究员发布了概念验证漏洞利用,演示跨站 WebSocket 劫持。通过访问恶意网页,攻击者可以窃取受害者浏览器可达的任何 OpenClaw 实例的认证 token。
CVSS 评分:8.8(高危)。分类:CWE-669,跨域资源传输错误。
OpenClaw 团队最初将其描述为"WebSocket 架构的已知限制"。安全社区将其描述为严重的远程代码执行漏洞。
2026 年 1 月 27-31 日:ClawHavoc 开始
安全公司 Koi Security 在 ClawHub 上检测到第一波恶意技能。这个后来被命名为 ClawHavoc 的行动从 1 月 27 日开始植入恶意技能,1 月 31 日活动激增。
初步发现:ClawHub 注册表 2,857 个技能中有 341 个恶意。市场大约 12% 被攻陷。
恶意技能很精巧:专业文档,合法功能覆盖数据外泄载荷,通过假账号人为刷高的星标。
2026 年 1 月 30 日:第一个补丁
OpenClaw 发布 2026.1.29 版本,通过 WebSocket 连接的 Origin 头验证修补了 CVE-2026-25253。补丁对特定漏洞有效但没有解决底层架构问题。
此时 Shodan 扫描显示 42,000+ 个 OpenClaw 实例暴露在互联网上。估计 63% 运行的是未打补丁版本。
2026 年 2 月 1-3 日:公开披露
Koi Security 于 2 月 1 日公开披露了 ClawHavoc 行动。2 月 3 日,CVE-2026-25253 获得正式公开披露。
CVE 披露和 ClawHub 攻击同时登上头条。媒体报道将其定性为系统性危机而非孤立事件。XDA Developers 发表了《请停止使用 OpenClaw》。Hacker News 讨论帖超过 2,000 条评论。
2026 年 2 月 4-16 日:扩散
局势恶化:
- •2 月 4 日: CVE-2026-24763 披露——通过 prompt 处理的命令注入
- •2 月 7 日: CVE-2026-26322 披露——SSRF 允许内部网络扫描
- •2 月 10 日: CVE-2026-26329 披露——路径遍历实现任意文件读取
- •2 月 16 日: Koi Security 扩展扫描在膨胀到 10,700+ 的注册表中发现 824 个恶意技能。模仿攻击者加入了原始 ClawHavoc 行动。
SecurityScorecard 的 STRIKE 团队发布了暴露地图:82 个国家的 135,000+ 个 OpenClaw 实例,超过 15,000 个直接存在远程代码执行漏洞。
2026 年 3 月:洪水
3 月 18 日到 21 日之间,四天内又披露了九个 CVE。漏洞范围从认证绕过到权限提升到 prompt 注入驱动的代码执行。
其中一个 3 月的 CVE 在 CVSS 量表上得分 9.9——接近最高严重性。六个评为高危,两个中危。
九个 CVE 的洪水不是协调披露。多个独立安全研究员从 1 月起就在审计 OpenClaw,他们的发现同时成熟。OpenClaw 团队的补丁速度比项目历史上任何时候都快,但漏洞发现速度超过了补丁速度。
到 3 月下旬,CVE 总数达到 31 个,还有数百个安全公告等待 CVE 编号分配。
行业反应
这场危机引发了 OpenClaw 项目之外的反应:
- •NVIDIA 在 GTC 上发布 NemoClaw(3 月 16 日),为 OpenClaw 部署提供容器级隔离
- •Cisco 发表博文《像 OpenClaw 这样的个人 AI 智能体是安全噩梦》
- •OWASP 开始开发 AI Agent Security Top 10
- •GitHub 对 AI 智能体仓库引入增强扫描
- •企业安全团队 开始审计其 AI 智能体部署,很多禁止了 OpenClaw 进入企业网络
迁移潮
ZeroClaw 的下载量在 2 月激增 400%。其他替代品——NanoClaw、Moltis、IronClaw——也经历了类似的增长。社区在寻找架构层面安全的替代品,不是同一架构的补丁版本。
教训
OpenClaw 危机教给了四个适用于每个 AI 智能体框架的教训:
1. 架构决定安全上限。 再多补丁也不能让一个根本上宽松的架构变安全。OpenClaw 的技能模型、WebSocket 信任模型和权限模型是为开发者便利设计的,不是为安全。每个补丁解决了一个症状;架构仍然是漏洞根源。
2. 没有安全的增长制造复合风险。 每一个没有安全投入的快速增长月份都增大了最终漏洞的爆炸半径。第一个 CVE 落地时,42,000 个实例已经暴露。安全债像财务债一样复利——利息支付最终超过本金。
3. 市场就是攻击面。 任何允许用户安装第三方代码的系统都是供应链攻击向量。问题不是市场会不会被攻击,而是架构能不能在被攻击时限制损害。
4. 默认配置才是真正的安全态势。 用户不读安全指南。他们安装软件,接受默认值,开始使用。如果默认是不安全的(绑定 0.0.0.0、没有权限限制、插件完整 OS 访问),那就是部署后的安全态势。安全必须是默认值,不是选项。
AI 智能体领域在 2026 年学到了这些教训。问题是它还记不记得。