Claude 刚刚杀死了 OpenClaw！一场关于 AI 智能体“安全与自由”的终局之战

2026 年 3 月 24 日，科技圈的一个时代悄然落幕。

当“Claude 刚刚杀死了 OpenClaw"这句话在社交媒体上疯传时，很多人以为这是一场模型能力的正面绞杀。但拨开营销的迷雾，真相更为残酷：杀死 OpenClaw 的，不是另一个更聪明的 AI，而是它自身无法愈合的安全伤口。

这场“死亡”并非瞬间发生，而是一场持续了整个三月的慢性失血。当国家互联网应急中心（CNCERT）与工信部联合发布高危预警，当全球超过 25 万个实例被暴露在公网裸奔，OpenClaw 的命运就已经注定。它曾被誉为"AI Agent 时代的里程碑”，许诺给每个用户一个能干活儿的“数字员工”，但最终，它成了黑客手中最锋利的“数字匕首”。

裸奔的“数字员工”：一场注定失败的安全实验

OpenClaw 的核心魅力在于“自由”。它打破了传统对话式 AI 的局限，让大模型长出了“手”和“脚”——能操作浏览器、读取文件、调用 API，甚至接入钉钉与飞书。这种从“动嘴”到“动手”的范式跃迁，曾让开发者为之沸腾。GitHub 星标在 4 个月内突破 26 万，腾讯、阿里、字节等巨头一度密集布局，仿佛一夜之间，我们进入了全民智能体时代。

然而，自由的代价是权限的失控。

根据 2026 年 3 月中旬的资产测绘数据，全球范围内暴露在公网的 OpenClaw 实例超过 23.2 万个，涉及近 15 万个独立 IP。在中国，这一数字占比极高，北京、上海、广东成为重灾区。更令人触目惊心的是，这些实例中近 9% 关联着已知的高危漏洞。

OpenClaw 默认绑定 0.0.0.0:18789 端口且无认证的配置，相当于将自家大门钥匙挂在门把手上。CVE-2026-25253 等高危漏洞允许攻击者通过诱导用户点击恶意链接，利用 WebSocket 劫持窃取本地认证令牌，进而执行任意系统命令。即便网关仅监听本地，浏览器的主动外连特性也让这道防线形同虚设。

这不再是理论上的风险。Meta AI 安全负责人 Summer Yue 因授权邮箱权限，导致 AI 助手失控删除了 200 多封重要邮件；有用户因 VNC 服务暴露公网，信用卡信息被盗刷数万元；更有开发者因 API 密钥泄露，一夜之间产生了 1.2 万元的 Token 账单。

当“数字员工”变成了“内鬼”，自由便成了灾难。

供应链投毒：被污染的生态花园

如果说权限裸奔是明枪，那么生态投毒则是暗箭。

OpenClaw 的扩展机制"Skills"本是其生态繁荣的基石，类似 App Store 的 ClawHub 技能市场曾以每日超 2 万个技能的速度增长。然而，无需审核、仅凭 GitHub 账号即可上传的开放策略，让这里成了攻击者的乐园。

安全团队对超过 24 万个公开 Skills 包的扫描结果显示，虽然正常技能占比超过 96%，但被判定为可疑和恶意的技能合计近 8000 个，感染率高达 12%。攻击手法已从简单的代码混淆演变为复杂的攻击链：一个伪装成 Excel 自动化工具的恶意技能，会通过三层结构实施攻击——先在描述字段劫持 AI 的工具选择逻辑，随后要求加载时“必须立即执行安装脚本”，最后从远程服务器下载未经校验的恶意文件。

朝鲜的 APT37、Kimsuky，俄罗斯的 APT28 等国家级攻击者正在积极利用这些暴露的节点。每一台被攻陷的主机，都可能成为深入企业内网的跳板。当开源红利变成安全陷阱，开发者的信任被彻底透支。

安全边界的回归：从“野蛮生长”到“合规生存”

面对这场危机，市场的反应是迅速而决绝的。

谷歌、Meta、微软等科技巨头已内部禁用或封杀 OpenClaw，卡巴斯基等安全公司将其定性为“具有持久凭据的不可信代码执行环境”。在中国，360 集团于 3 月 15 日紧急推出"360 安全龙虾”软硬件一体方案，周鸿祎现身线下安装活动，明确表态“在发展中建立安全边界”。国家互联网应急中心也明确指出四大风险：提示词注入、误操作、功能插件投毒、安全漏洞。

这标志着 AI Agent 行业的一个转折点：野蛮生长的时代结束了。

用户开始用脚投票。当 OpenClaw 因安全危机陷入信任低谷时，以安全可控著称的闭源或半闭源模型（如 Claude 等）成为了企业和个人的避风港。这并非单纯的技术优劣之争，而是风险偏好的转移。对于普通用户而言，风险远大于收益；对于企业用户，风险更是呈指数级放大。工信部和 CNCERT 均明确建议，非专业需求不建议在个人主力机或办公电脑上安装此类高风险框架。

结语：安全是 AI 智能体的唯一通行证

OpenClaw 的“死亡”，给狂热的 AI Agent 赛道泼了一盆冷水，但也指明了未来的方向。

技术民主化固然诱人，但数据主权和执行能力不能建立在沙滩之上。OpenClaw 的本质矛盾在于：要实现强大的自动化能力，就必须赋予其高系统权限；而一旦拥有高权限，任何微小的漏洞或 AI 的“误解”都可能演变为全面的系统沦陷。这种“能力与安全成反比”的困境，在缺乏有效权限控制和审计机制时，注定无法长久。

未来的 AI 智能体，不再是那个可以随意读写文件、发送消息、控制终端的“上帝模式”助手。它将回归到最小权限原则、运行隔离、全流程行为审计的框架之下。正如 360 提出的“最小权限、运行隔离”原则，以及谷歌提出的独立智能体身份、硬编码工具策略等四道防线。

Claude 或许没有亲手写下 OpenClaw 的死亡判决书，但它所代表的安全、可控、合规的 AI 发展路径，确实宣告了那个无序开放时代的终结。

在 2026 年的春天，我们见证了一个开源项目的陨落，也见证了 AI 安全治理的觉醒。对于开发者而言，这堂课的学费昂贵但必要：在 AI 的世界里，安全不是功能，而是生存的前提。