OpenClaw 的 “龙虾热” 成了 2026 年 Web3 最大的安全警钟
GitHub 历史上增长最快的仓库刚刚暴露了分布在 82 个国家的超过 135,000 个脆弱的 AI 智能体——而加密货币用户是主要目标。欢迎来到 OpenClaw 安全危机。在这里,争相部署 AI 网关的中国科技巨头与一场大规模的供应链攻击正面碰撞,这场攻击正在改写区块链安全的规则。
成为安全噩梦的病毒式现象
在 2026 年 1 月下旬,OpenClaw 实现了前所未有的成就:它在 单日内获得了超过 20,000 个 GitHub 星标,成为该平台历史上增长最快的开源项目。到 2026 年 3 月,这款 AI 助手已经积累了超过 250,000 个星标,全球科技爱好者纷纷争相安装这款看似代表个人 AI 未来的工具。
与基于云的 AI 助手不同,OpenClaw 完全在你的计算机上运行,拥有访问你的文件、电子邮件和应用程序的完整权限。你可以通过 WhatsApp、Telegram 或 Discord 向它发送消息,它会 24/7 全天候运行——执行 Shell 命令、浏览网页、发送电子邮件、管理日历,并跨越你的数字生活采取行动——所有这些都只需通过手机发送一条简单的消息即可触发。
这个卖点令人无法抗拒:你自己的个人 AI 智能体,在本地运行,随时待命,功能无限。但事实证明,现实要危险得多。
135,000 个暴露实例:安全灾难的规模
到 2026 年 2 月,安全研究人员发现了一个令人心惊的事实:全球 82 个国家有超过 135,000 个 OpenClaw 实例暴露在公网上,其中超过 50,000 个容易受到远程代码执行攻击。原因何在?OpenClaw 默认配置中存在一个根本性的安全漏洞。
OpenClaw 默认绑定到 0.0.0.0:18789,这意味着它监听 包括公网在内的所有网络接口,而不是按照安全最佳实践要求仅监听 127.0.0.1(仅限本地主机)。从背景来看,这相当于敞开大门并挂上“请随意进入”的牌子——只不过这扇门通向的是你的整个数字生活。
“ClawJacked”漏洞使情况变得更糟。攻击者只需诱导你访问一个恶意网站,就能劫持你的 AI 助手。一旦被攻破,攻击者将获得与 AI 智能体本身同等级别的访问权限:你的文件、凭据、浏览器数据,以及没错——你的加密货币钱包。
安全公司竞相了解其影响范围。卡巴斯基(Kaspersky)、Bitsight 和 Oasis Security 都发布了紧急警告。共识非常明确:OpenClaw 代表了一场“安全噩梦”,涉及关键的远程代码执行漏洞、架构缺陷,以及——最令人震惊的——其插件市场中大规模的供应链投毒活动。
ClawHavoc:针对加密货币用户的��供应链攻击
在研究人员关注 OpenClaw 核心漏洞的同时,一个更隐蔽的威胁正在 ClawHub 中展开——这是一个旨在让用户轻松查找并安装 AI 智能体第三方“技能”(插件)的市场。
2026 年 2 月,代号为 ClawHavoc 的安全研究发现,在 ClawHub 审计的 2,857 个技能中,有 341 个是恶意的。到 2 月中旬,随着市场规模增长到 10,700 多个技能,恶意技能的数量增加了一倍多,达到 824 个——根据某些报告,恶意技能的数量甚至高达 1,184 个。
攻击机制极其巧妙:
- 虚假前提条件:335 个技能利用虚假的安装要求欺骗用户下载 Atomic macOS Stealer (AMOS) 木马。
- 针对特定平台的有效载荷:在 Windows 上,用户从被攻破的 GitHub 仓库下载 “openclaw-agent.zip”;在 macOS 上,托管在 glot.io 的安装脚本被直接复制到终端(Terminal)中。
- 复杂的社会工程学:文档说服用户在合法设置步骤的掩护下执行恶意命令。
- 统一的基础设施:所有恶意技能共享相同的指令与控制(C2)基础设施,表明这是一场协同作战。
主要目标是谁?加密货币用户。
该恶意软件旨在窃取:
- 交易所 API 密钥
- 钱包私钥
- SSH 凭据
- 浏览器密码
- 来自 Solana 钱包和钱包追踪器的加密货币特定数据
在这些恶意技能中,有 111 个是明确针对加密货币的工具,包括 Solana 钱包集成和加密货币追踪器。攻击者明白,习惯于安装浏览器扩展和钱包工具的加密货币用户,将是 AI 智能体供应链攻击中最具价值的目标。
中国科技巨头的部署竞赛
就在安全研究人员发布警告时,中国科技巨头们看到了机遇。2026 年 3 月初,腾讯、阿里巴巴、字节跳动、京东和百度 都推出了竞争性的 免费 OpenClaw 安装活动,将通常需要数月的竞争博弈压缩到了短短几天内。
策略很明确:利用免费部署作为获客手段,在商业 AI 项目规模化之前锁定用户。每家巨头都在争夺成为“下一代 AI 开发者的首个基础设施触点”:
- 腾讯 推出了 QClaw,将 OpenClaw 与微信集成,以便用户可以通过手机发送指令远程控制笔记本电脑。
- 阿里云 在其平台上推出了对 OpenClaw 的支持,并连接到其通义千问(Qwen)AI 模型系列。
- 字节跳动的火山引擎(Volcano Engine) 发布了 ArkClaw,这是 OpenClaw 的一个“开箱即用”版本。
讽刺意味十分浓厚:正当安全研究人员警告 135,000 个暴露实例和大规模供应链攻击时,中国最大的科技公司却在积极向数百万用户推广大规模安装。技术热忱与安全现实之间的碰撞从未如此显眼。
Web3 的 AI 代理问题:当 MCP 遇�上加密钱包
OpenClaw 危机暴露了一个 Web3 构建者再也无法忽视的深层问题:AI 代理正越来越多地管理链上资产,而其安全模型却极其不成熟。
模型上下文协议(MCP)——连接 AI 代理与外部系统的新兴标准——正在成为 AI 与区块链交互的门户。MCP 服务器充当整个 Web3 栈的统一 API 网关,使 AI 代理能够读取区块链数据、准备交易并执行链上操作。
目前,大多数加密货币 MCP 服务器需要配置 私钥,这造成了单点故障。如果 AI 代理受到损害——正如成千上万个 OpenClaw 实例那样——攻击者就能直接获取资金。
两种竞争性的安全模型正在浮现:
1. 委托签名(用户控制)
AI 代理准备交易,但用户保留对签名的唯一控制权。私钥 从未离开用户的设备。这是最安全的方法,但限制了代理的自主性。
2. 代理控制的额度
代理拥有自己的密钥,并获得代表用户消费的额度。私钥由代理主机安全管理,且支出设有上限。这实现了自主运行,但需要信任主机的安全性。
这�两种模型目前都尚未被广泛采用。大多数加密 MCP 实现仍在使用危险的“给代理私钥”的方法——这正是 ClawHavoc 攻击者所期待的场景。
根据 2026 年的预测,60% 的加密钱包将使用代理式 AI 来管理投资组合、跟踪交易并提高安全性。业界正在实施多方计算(MPC)、账户抽象、生物识别身份验证和加密本地存储来保护这些交互。诸如 ERC-8004(由以太坊基金会、MetaMask 和 Google 共同主导)等标准正试图为链上 AI 代理创建可验证的身份和信用历史。
但 OpenClaw 证明了这些保护措施尚未到位——而攻击者已经开始利用这一空白。
NVIDIA 的企业级方案:GTC 2026 上的 NemoClaw
随着 OpenClaw 安全危机的发酵,NVIDIA 看到了一次契机。在 3 月中旬的 GTC 2026 上,该公司宣布了 NemoClaw,这是一个专为 企业自动化 设计的开源 AI 代理平台,从底层构建了安全和隐私机制。
与 OpenClaw 优先考虑消费者、随处安装的方法不同,NemoClaw 针对企业的特点包括:
- 内置安全与隐私工具,解决了困扰 OpenClaw 的漏洞
- 企业级身份验证与访问控制,防止了“默认对互联网开放”的配置灾难
- 多平台支持,不仅能在 NVIDIA 芯片上运行,还利用了该公司的 NeMo、Nemotron 和 Cosmos AI 框架
- 合作伙伴生态系统,包括与 Salesforce、Google、Cisco、Adobe 和 CrowdStrike 的洽谈
这个时机极具战略意义。当 OpenClaw 的“龙虾热”(Lobster Fever)暴露了以消费者为中心的 AI 代理的危险时,NVIDIA 将 NemoClaw 定位为安全的、企业级的替代方案——这可能会在企业 AI 代理市场挑战 OpenAI。
对于构建 AI 集成基础设施的 Web3 公司而言,NemoClaw 代表了解决 OpenClaw 所暴露安全问题的一个潜在方案:专业管理、经过审计且安全的 AI 代理部署,可以安全地与高价值区块链资产进行交互。
Web3 迫切需要的警钟
OpenClaw 危机不仅是一个 AI 安全故事,它还是一个 区块链基础设施故事。
考虑以下影响:
- 135,000+ 个暴露的 AI 代理 可能访问加密钱包
- 1,184 个恶意插件 专门针对加密货币用户
- 五家中国科技巨头 在没有足够安全审查的情况下推动了数百万次安装
- 预计到年底 60% 的加密钱包 将使用 AI 代理
- 尚未有广泛采用的安全标准 用于 AI 与区块链的交互
这是 Web3 的“供应链安全时刻”——堪比传统金融中的 2020 年 SolarWinds 攻击或加密领域 2016 年的 DAO 黑客事件。它揭示了一个基本事实:随着区块链基础设施变得更加强大和自动化,攻击面也随之呈指数级扩大。
行业的反应将决定 AI 代理是成为 Web3 功能的安全门户,还是该领域见过的最大漏洞。在委托签名模型、代理额度、MPC 方案和账户抽象之间的选择不仅是技术性的——更是关乎生存的。
Web3 构建者现在应该做什么
如果你正在 Web3 中构建并集成 AI 代理(或计划这样做),这里有一份清单:
- 审计你的 MCP 服务器安全性:如果你要求私钥来访问 AI 代理,你就在制造类似 ClawHavoc 的攻击向量
- 实施委托签名:即使用户使用 AI 准备交易,用户也应始终保留对交易签名的唯一控制权
- 对自主代理使用基于额度的模型:如果代理需要独立行动,请为它们分配具有严格支出限制的专用密钥
- 切勿使用默认网络配置安装 AI 代理:除非你有企业级身份验证,否则始终绑定到本地主机(
127.0.0.1) - 像对待应用商店一样对待 AI 代理市场:在信任第三方技能之前,要求代码签名、安全审计和声誉系统
- 教育用户了解 AI 代理风险:大多数加密用户并不明白,使用 AI 代理在功能上等同于给某人提供了其计算机的 root 访问权限
OpenClaw 危机教给我们:默认安全比功能更重要。部署 AI 代理的竞赛不能超过保护其安全的竞赛。
正在构建连接到 AI 代理的区块链基础设施?BlockEden.xyz 为 40 多个区块链提供企业级 API 基础设施,其安全优先的架构专为高风险集成而设计。探索我们的服务,在经得起考验的基础上进行构建。
数据来源:
- Meet OpenClaw: The AI assistant that broke every record – and started a security panic
- OpenClaw: GitHub's Fastest-Ever Rising Star Becomes 2026's First Major AI Security Disaster
- New OpenClaw AI agent found unsafe for use | Kaspersky official blog
- OpenClaw Security: Risks of Exposed AI Agents Explained | Bitsight
- ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover
- Researchers Find 341 Malicious ClawHub Skills Stealing Data from OpenClaw Users
- Malicious OpenClaw Skills Used to Distribute Atomic MacOS Stealer | Trend Micro
- ClawHavoc Poisons OpenClaw's ClawHub With 1,184 Malicious Skills
- Using MCP with Web3: How to secure blockchain-interacting agents | Google Cloud Blog
- How to Build AI-Powered Web3 Crypto Wallets in 2026
- Model Context Protocol (MCP): Bridging AI and Blockchain for Smarter Crypto Projects
- Chinese Tech Giants Race to Adopt OpenClaw AI Gateway
- China's AI Red Packet War: ByteDance, Tencent, Alibaba and Baidu Battle to Become the Default Gateway
- Nvidia targets enterprise AI agents with new open-source NemoClaw platform
- Nvidia Prepares NemoClaw to Power Enterprise AI Agents
- NVIDIA to Launch Open-Source AI Agent "NemoClaw" at GTC 2026: What We Know So Far