文章总结： 工信部预警开源AI智能体OpenClaw存在高风险，全球超7万实例暴露。文章剖析其数据泄露、远程命令执行及高昂Token成本等隐患，并提及CVE-2026-25253漏洞案例。针对安全挑战，知道创宇推出AiPy平台，主张本地优先与代码透明执行架构，为解决AIAgent安全与成本问题提供了建设性方案。 综合评分： 60 文章分类： AI安全,漏洞预警,产品介绍,安全建设

工信部预警！超7万OpenClaw“裸奔”暴露AI Agent安全风险，AiPy本地安全逻辑破局

知道创宇 知道创宇

安在

2026年3月9日 19:56 上海

近日，AI领域掀起一股“养龙虾”热潮。所谓“养龙虾”，是指部署、训练、使用以OpenClaw（曾用名Clawdbot、Moltbot）为代表的本地AI智能体（Agent），其官方红色龙虾图标，也让这一昵称迅速在开发者社区走红。

作为一款开源AI智能体，OpenClaw通过整合多渠道通信能力与大语言模型，构建具备持久记忆、主动执行能力的定制化AI助手，可在本地私有化部署。凭借较强的自动化能力和开放生态，快速成为开发者追捧的热门项目。

但热潮之下，隐患暗生，随着部署规模持续扩大，其潜藏的安全风险逐渐浮出水面，近期更是受到工信部的风险预警。

官方发声：OpenClaw存在较高安全风险

近期，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。

工信部指出，由于OpenClaw在部署时“信任边界模糊”，且具备自身持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。

根据ZoomEye 网络空间测绘平台统计，截至 2026 年 3 月 9 日，全球可识别的OpenClaw 实例数量已达到 72,537 个。

ZoomEye 搜索语法

从地区分布来看，中国、美国、新加坡等国家的部署量位居前列。其中，中国的部署规模明显高于美国，成为全球OpenClaw 部署数量最多的国家。

区域分布

在部署模式方面，识别到的典型模式主要包括默认端口映射部署和反向代理部署。其中，默认端口映射部署数量达到53,072 个，占比 85.41%；反向代理部署为 4,253 个，占比 6.75%。

端口分布

OpenClaw四大安全隐患：

从数据泄露到合规危机，风险无孔不入

OpenClaw 具备以下核心能力特征，包括自然语言驱动任务执行、调用本地或远程工具接口、访问文件系统与网络资源集成第三方插件与技能扩展机制等。

这些能力在提升自动化效率和可扩展性的同时，也意味着其具备较高系统权限与广泛资源访问能力。与传统 Web 应用相比，AI Agent 框架的安全问题不再局限于单一接口漏洞或配置错误，而呈现出更加立体的风险结构。

一是数据安全风险。

OpenClaw 具备访问本地文件系统和调用外部工具的能力，在权限边界控制不足或安全策略配置不当的情况下，攻击者可通过提示注入或工具链滥用读取 SSH 密钥、系统配置、数据库凭据及企业文档，并上传至外部服务器，可能造成大规模敏感信息泄露。

二是系统安全风险。

通过 shell、exec 等工具，智能体可执行系统命令。一旦攻击者掌控执行流程，可能触发远程代码执行、权限提升、恶意程序植入甚至勒索软件投放。

公开披露的CVE-2026-25253 漏洞即为典型案例。2026 年 2 月 1 日，安全研究团队 DepthFirst 在其技术博客中披露，该漏洞允许攻击者通过构造特定钓鱼链接修改系统网关地址。由于应用在建立连接时会自动向网关发送认证令牌（authToken），攻击者可借此窃取身份凭据，并通过 WebSocket 通道访问本地 18789 端口。在获取会话控制权后，攻击者可进一步下发恶意指令，最终实现任意命令执行，形成完整攻击链。

三是业务安全风险。

多步骤自动化任务链路可能在智能体受误导或推理错误时，修改业务配置、删除关键文件或误操作生产环境，错误操作可在任务链路中持续放大，导致业务中断、数据损坏或业务逻辑被篡改。

四是合规与法律风险。

智能体访问的个人或企业敏感数据若被传输至境外模型或第三方平台，可能触发跨境数据合规问题。缺乏审计与操作留痕机制时，事件溯源与责任界定难度增大，法律风险随之扩大。

不止安全隐患：

养“龙虾”不便宜，用户直呼“养不起”

除了安全问题，OpenClaw 的运行成本同样受到关注。

OpenClaw 本身并不内置大语言模型，而是采用模型无关架构，需要接入 Claude、GPT、DeepSeek、Kimi 等外部模型作为“大脑”。这一设计虽然提升了灵活性，但也意味着每一次任务执行都需要调用外部 API 并消耗 Token。

从媒体报道和一些用户在社交媒体分享的案例来看，token的巨量消耗，导致拖欠账单的情况时有发生。对于仅需要简单问答或轻度自动化任务的用户而言，这类隐性成本可能远超预期。

近期有媒体报道称，一些用户感叹“养不起 AI 员工”。在个别案例中，OpenClaw 6 小时产生的账单达到 1172 元，一天基础消耗甚至可达 400 元以上。

再如，一位用户将OpenClaw 设置为每 30 分钟检查一次任务。一晚上 25 次空检查，每次消耗约 120,000 Token（约 0.75 美元），AI 的回答每次都是同一句话：“没有新任务”。按这个频率计算，仅后台空转，每周的 Token 成本就高达 250 美元。

另一位中国开发者在阿里云开发者社区分享自己的经历：使用OpenClaw 处理自动化任务，短短 2 小时就消耗了 100 美元的 Token。

AiPy：更安全的AI Agent架构探索

微软Defender 安全研究团队曾建议，应将 OpenClaw 视为“不受信任的代码执行环境”，并不建议在普通工作站中直接运行。一些大型科技公司也已经对其使用进行限制或加强安全审查。

当然，这并不意味着OpenClaw 本身没有价值。作为一个功能强大的开源项目，它在自动化能力和开发者生态方面具有重要探索意义。但其部署与使用对用户的安全意识和配置能力提出了较高要求。对于大多数用户而言，使用安全、可控、易操作的AI 智能体显得更加重要。

为平衡能力与安全，一些国产AI Agent 平台开始从架构上强化安全设计。由知道创宇推出的AI 智能体平台 爱派（AiPy），在设计之初便将安全性作为核心原则之一。

本地优先架构：所有数据处理和任务执行都在用户本地环境中完成不强制要求公网暴露，默认就是”关门干活”数据不出本地，隐私天然保护。

代码即代理（Code is Agent）范式：不依赖预定义工具链，动态生成Python代码执行执行过程透明可控，用户可随时审查不存在”黑箱操作”带来的安全隐患

成本可控：仅支付大模型API调用费用，无隐藏成本。社区持续优化，安全漏洞快速响应。

两者对比：

AiPy 已在数据分析、办公自动化、内容处理及开发辅助等多个场景中得到应用，为企业和个人提供兼顾效率、安全与成本的 AI Agent 使用方案。

随着 AI Agent 技术快速发展，其带来的效率提升与安全挑战同步扩大。如何在能力、成本与安全之间取得平衡，正成为行业持续探索的核心问题。对企业和个人用户而言，选择“默认安全、可控透明”的智能体平台，将直接影响实际使用效果与风险水平。

扫码加入AiPy官方粉丝群进入

AiPy官网即可下载：

https://www.aipyaipy.com/

使用我的专属邀请码：KHZw，立即获得 2,000,000 Tokens额外奖励！

END

点击阅读原文下载

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 知道创宇 知道创宇《工信部预警！超7万OpenClaw“裸奔”暴露AI Agent安全风险，AiPy本地安全逻辑破局》