‍装了 OpenClaw 后，信用卡被盗刷了...

前两天有个哥们发现自己信用卡被盗刷了。

他慌了，让自己部署的 OpenClaw 帮忙排查一下到底怎么回事。

龙虾查了一圈，回复他：

你没看错。这是 AI 回复的。

这哥们给自己的 OpenClaw 取名叫"顾衍"，一只有名有姓的 AI 龙虾，查完安全日志之后，第一反应是骂了一句街。

用户让它继续查到底是哪里出了问题。龙虾先排查了 SSH，全部公钥登录，没有异常 IP，没被入侵。

然后它翻到了 VNC 的配置，炸了：

一只 AI 帮你排查安全问题，查着查着把自己气到爆粗口。

笑死我了。

翻译成人话就是：这哥们部署了个 OpenClaw，x11vnc (远程桌面控制)绑了 0.0.0.0 还加了 -nopw（无密码）。

这操作相当于把自己电脑的屏幕投到了时代广场的大屏幕上。

不光能看，还能操作。

并且 Chrome 登着 Google 账号，登着 Stripe 支付后台，任何人连上就能用。

然后，真有人连上了。

通过 Outlook 邮箱收验证码，用 Stripe 下了单，还试图给自己升级一个 Claude Max。

连帮你干活的 AI 看到这个配置都绷不住了，何况黑客呢。

要理解这事儿有多离谱，得先知道 OpenClaw 有多火。

去年底立项（最早叫 Clawdbot），今年一月以 OpenClaw 的名字正式开源，GitHub 星标干到 266k。

就这个速度，前无古人。

为啥火？因为是真好用。本地部署一个 AI Agent，能帮你发消息、查日程、操作电脑、跑脚本，基本上就是一个不会摸鱼的数字员工。

然后大家就疯了。

搞开发的部署一个。

不搞开发的花 1200 也得让人上门整一个。

公司里部署、云服务器上部署、家里 NAS 上部署。

连我一个开零售店的朋友都问我："这个 AI 龙虾是不是很厉害？我也想整一个。"

反正看着别人都在玩，自己不整一个好像亏了。

结果就整出事了。

火是真的火，裸奔的也是真的多。

有个网站叫 OpenClaw Exposure Watchboard（https://openclaw.allegro.earth/），专门扫描暴露在公网上的 OpenClaw 实例。

打开一看，绷住了。。。

到现在，这个看板收录了 258,305 个暴露在公网的 OpenClaw 实例。

二十五万八千个。

分布在全球各地，腾讯云、百度云、阿里云、AWS，你能想到的云厂商全有。

可以看到，看板上每个实例都标注了：有没有开认证、有没有泄露凭证。

随便翻一条：

杭州那啥的，auth 认证没开， has_leaked_creds 写着 Leaked，就密钥也泄露了。

属于不仅门没锁，钥匙还插在锁眼上。

SecurityScorecard 单独做过一次扫描，口径不一样：他们那次扫到四万多个暴露实例，其中一万五千多个能被远程执行代码，百分之七十八跑的是没打补丁的老版本。

看板上的二十五万八千个是持续观测、累计去重后的数字，统计周期更长，覆盖面更大。

不管按哪个口径，数量级都够吓人了。

那为什么这么多人一部署就裸奔了？

拆开来看，OpenClaw 这个项目加上用户操作习惯，凑出了五把刀。

第一刀：一改就裸

公平地说，OpenClaw 的 CLI 和原生应用默认绑定 127.0.0.1（loopback），只有本机能访问。

但问题是：你在自己电脑上跑，只能自己用，没法远程访问。

于是大家部署到云服务器的第一件事就是把 gateway.bind 从 loopback 改成 lan 或者直接绑 0.0.0.0。改完，18789 端口就对全世界敞开了。

Docker 部署也有坑：早期 docker-compose 的端口映射写的就是 0.0.0.0，有人提 PR 想改成 loopback，到现在还没合并。

很多人压根不知道 0.0.0.0 和 127.0.0.1 的区别。教程上说跑起来就行，他就跑起来了。

第二刀：即使绑了 127.0.0.1 也不安全

你可能觉得只要不绑 0.0.0.0 就没事了。并不是。

Oasis Security 发现了一个叫 ClawJacked 的漏洞，跟上面公网暴露是两条完全独立的攻击链。

这个漏洞利用的是浏览器的特性：任何网页的 JavaScript 都可以通过 WebSocket 连接你本机的 localhost 端口，浏览器不拦。

攻击过程是这样的：你访问一个恶意网页，网页里的 JS 悄悄连上你本地的 OpenClaw Gateway。Gateway 的速率限制器对 localhost 连接直接豁免，攻击者可以每秒几百次地暴力破解密码。

破解完了，Gateway 还会自动批准本地配对请求，不需要用户确认。

你点一个恶意网页，Agent 就归别人了。绑没绑 0.0.0.0 无所谓。

第三刀：权限给太多了

OpenClaw 的 Skill（插件）拥有的权限包括：文件系统读写、任意代码执行、网络访问。

一个 Skill 拿到的权限比大多数公司员工都大。

Agent 一旦被人接管，这些权限全归攻击者。跑系统命令、偷 SSH 密钥、偷浏览器密码、偷加密钱包、偷 API 密钥，随便来。

第四刀：ClawHub 应用市场是个重灾区

Snyk 安全团队扫了 ClawHub 上将近四千个 Skill，结果发现超过 36%（1,467 个）存在安全缺陷：提示词注入、凭证处理不当、可疑下载链接等等。

其中经过人工确认的恶意 Skill 有 76 个。

这还只是 Skill 本身的问题。

有一波叫 ClawHavoc 的供应链攻击更狠，把 macOS 上的 Atomic Stealer 和 Windows 上的键盘记录器伪装成正常的加密货币工具。

你装了这个 Skill，以为它在帮你查币价，实际上它在默默导出你的钱包私钥。

第五刀：凭证明文存储

API 密钥、OAuth Token、各种 AI 服务的密钥，很多会以明文落在 ~/.openclaw/ 目录下的配置文件里：openclaw.json、auth-profiles.json、.env 都可能有。

有些场景下迁移或修复流程还会把环境变量引用解析成明文回写进去。

文件权限？官方安全指南建议设成 600，反过来说就是很多人跑着的实例权限比这宽松得多。

同一台机器上的其他用户可能也能读到你的密钥。

其实开头那哥们这不是个例。

网上报道了多个黑客组织利用暴露的 OpenClaw 实例窃取 API 密钥并部署恶意软件。

被偷的东西五花八门：OpenAI 密钥、Claude 密钥、Google AI 密钥、SSH 私钥、浏览器保存的密码、Telegram 会话。

有人的 OpenAI 账号因此产生了几千美元的 API 调用费用。

危害着实不小。

所以，如果你已经部署了 OpenClaw，先别慌，但也别太不慌。

先去 https://openclaw.allegro.earth/ 搜一下你的 IP。

如果出现了，恭喜，你已经被全世界看到了。

然后检查 gateway.bind 配置，确保是 loopback 而不是 lan 或 0.0.0.0。改完外网就访问不了了。

需要远程访问的话，上 Nginx 反代，加 HTTPS 和认证。

改完跑一遍安全审计：

openclaw security audit --deep
openclaw security audit --fix

只能查出大概 60% 的已知问题，但有总比没有强。

再把文件权限收紧：

chmod 700 ~/.openclaw
chmod 600 ~/.openclaw/openclaw.json

ClawHub 上三分之一的 Skill 有问题，你装了不认识的 Skill，先卸了，回头再说。

API 密钥、OAuth Token，如果写在配置文件里过，当它们已经泄露了。去各个平台重新生成。

最后，升级。至少升到 2026.2.26 以上。ClawJacked 在 2026.2.25 修复，但 2026.2.26 有更全面的安全加固。

OpenClaw 本来是给本地用的，很多人啥也不管直接往公网上怼。

菜刀在厨房里用没问题，绑在无人机上飞出去那就不好说了。

你给这只龙虾登了 Google 账号，给了文件系统权限，给了执行命令的能力，然后把控制入口敞开放在公网上。

这就跟把家钥匙挂门把手上差不多。

特别是那些花钱请人装龙虾的哥们，多上点心吧。

对了，那价格装的应该是真龙虾吧？