OpenClaw(前身 Clawdbot、Moltbot)是奥地利开发者 Peter Steinberger 于 2025 年 11 月创建的开源自主 AI Agent 框架。它通过 WhatsApp、Telegram、Discord、Signal 等消息平台作为用户界面,连接大语言模型(Claude、GPT、DeepSeek 等)执行本地任务:运行 shell 命令、控制浏览器、读写文件、管理日历、发送邮件。
用一句话概括:它给 AI 装上了手脚,让 AI 不仅能说,还能做。
截至 2026 年 3 月 11 日,OpenClaw 在 GitHub 上拥有约 298,000 stars,是 GitHub 历史上增长速度最快的开源项目之一。React 花了超过 10 年才达到类似的 star 数。
| 日期 | 事件 | Stars |
|---|---|---|
| 2025-11 | 项目创建 | 0 |
| 2026-01-24 | 达到 1,000 stars(用了 2 个月) | ~1,000 |
| 2026-01-25 | 病毒式传播开始 | 快速增长 |
| 2026-01-29 | 单日 +17,830(据公开跟踪记录) | ~80,000+ |
| 2026-01-30 | 突破 100,000 stars | 100,000+ |
| 2026-02-27 | 达到 234,621 stars + 45,141 forks | 234,621 |
| 2026-03-11 | 约 298,000 stars | ~298,000 |
单周网站访问量超过 200 万。但增长的另一面是:攻击者比安全团队更早注意到了这个项目。
2026 年 1 月,安全研究人员发现了一个 CVSS 8.8 的严重漏洞:只要点击一个恶意链接,攻击者就能在毫秒内完全接管你的 OpenClaw 实例和主机。
攻击链:恶意网页 JavaScript 窃取认证 token → 跨站 WebSocket 劫持 → 绕过认证 → 禁用用户确认 → 逃逸 Docker 容器 → 主机执行任意命令。即使只绑定 localhost 的实例也受影响——攻击者通过浏览器作为跳板。
核心缺陷:Control UI 接受 URL 中的 gatewayUrl 参数并自动建立 WebSocket 连接,服务端不验证 Origin header。
项目爆发仅 2 天后(2026-01-27),第一个恶意 Skill 就出现在 ClawHub 上。Koi Security 初始确认 341 个恶意 Skill;安天 CERT 扩展扫描识别出 1,184 个恶意包(来自 12 个作者 ID)。主要载荷是 Atomic macOS Stealer (AMOS)。
Anthropic 因"Clawd"与"Claude"发音相似要求改名。在释放旧账号到抢注新账号的约 10 秒间隙中:加密骗子抢注旧 X 账号,$CLAWD Solana 代币短暂达到约 $16M 市值(据 L3 媒体报道),Steinberger 否认后暴跌逾 90%。
改名历程:Clawdbot → Moltbot → OpenClaw——三个名字、两次改名,仅 3 天。
| 扫描机构 | 暴露实例数 | 来源级别 |
|---|---|---|
| Censys(官方报告) | 21,000+ | L2 |
| Bitsight(官方报告) | 30,000+ | L2 |
| Maor Dayan 独立研究 | 42,665(5,194 经验证存在漏洞) | L3 |
93.4% 的暴露实例存在认证绕过条件,98.6% 托管在云基础设施上。
Moltbook 声称 150 万"用户",实际 99% 是假账号,真实人类用户仅约 17,000。泄露内容:150 万 API token、35,000 邮箱、私信中的明文 API 密钥。创始人公开表示"没写过一行代码"。
攻击者在 GitHub 创建恶意组织 "openclaw-installer",Bing AI 将恶意仓库推荐为首选结果。载荷:Windows 上的 GhostSocks + 信息窃取器,macOS 上的 AMOS。
2026 年 2 月中旬,Google 对通过 OpenClaw 使用 Antigravity 的用户发起大规模封号——无预警、无宽限期。AI Ultra 用户($249.99/月)通过 OpenClaw 可产生 $1,000-$3,600/月的 API 调用量。Meta 也禁止了 OpenClaw 的使用。
60 天内至少 11 个 CVE,最高 CVSS 9.2。所有已披露 CVE 均已修补。
腾讯内测 QClaw(集成微信和 QQ);阿里云、腾讯云、华为云支持一键部署;A 股"龙虾概念"逆势涨约 20%。但中国网安机构两次发布安全警告——地方推广与中央警告并行。
| 指标 | 数据 | 来源级别 |
|---|---|---|
| GitHub Stars | ~298,000 | L1 |
| 公开暴露实例 | 21,000-42,000+ | L2-L3 |
| 恶意 Skill | 341-1,184 | L2 |
| 已披露 CVE | 11 | L1 |
| 最高 CVSS | 9.2 | L1 |
| Moltbook 泄露 Token | 150 万 | L2 |
| $CLAWD 峰值市值 | ~$16M | L3 |
| 企业/政府响应 | 至少 8 个机构 | L1-L3 |
| 时间差 | 快的一方 | 慢的一方 | 结果 |
|---|---|---|---|
| 增长 vs 安全 | 用户增长(天级) | 安全加固(周/月级) | CVE 密集爆发 |
| 攻击 vs 防御 | 攻击者(小时级) | 防御体系(月级) | ClawHavoc |
| 能力 vs 治理 | Agent 能力 | 权限治理模型 | 暴露实例危机 |
| 平台政策 vs 使用模式 | Agent 24/7 调用 | 人类使用量定价 | Google 封号 |
| 品牌操作 vs 投机速度 | 品牌更名(秒级) | 抢注防护(无) | $CLAWD 骗局 |
| 热潮 vs 用户教育 | 炒作传播(天级) | 安全意识(月级) | "养龙虾"概念股 |
重要校正:时间差模型是有用的分析框架,但部分安全问题(如 WebSocket Origin 不验证、ClawHub 早期低准入门槛)是具体的设计决策缺口,不仅仅是"没来得及"。
AI Agent 的固有风险放大效应:普通软件漏洞影响软件本身,Agent 漏洞影响 Agent 可触及的一切——Slack、邮件、日历、云文档、shell 命令。
"Vibe Coding"的安全债务:Moltbook 展示了 AI 快速构建产品但跳过安全基础设施的风险。
订阅经济 vs Agent 经济:Google 封号揭示了 SaaS 定价模型与 Agent 使用模式的根本冲突。
CVE-2026-25253:公开披露前已修补
ClawJacked:24 小时内修补
v2026.2.12:单版本修补 40+ 漏洞
VirusTotal 合作:2 月 7 日宣布
ClawHub 审核升级:引入 moderation 和 approval 机制
基金会化:增加治理透明度
对 pre-1.0 开源项目而言,这种响应速度属于优秀水平。
不完全准确,但也不完全错误。
| 层面 | 规模 | 性质 |
|---|---|---|
| 全球关注 | 已确认 | 多国安全机构警告、全球媒体报道 |
| 全球暴露 | 已确认 | 21,000-42,000+ 实例跨多国暴露 |
| 全球受害 | 部分确认 | 实际被攻击用户数量无统一统计 |
更精确的描述:全球性的安全危机——已确认全球暴露与全球关注,但全球实际受害规模尚未被完整量化。
2026 年 2 月 15 日,Steinberger 加入 OpenAI。OpenClaw 转为基金会运营。它以最戏剧性的方式告诉世界:
OpenClaw 不是一个"坏产品"。它是一个好想法,在错误的时间尺度上,被推到了需要远超当前成熟度的安全位置。它为整个 AI Agent 行业付出了一堂昂贵的学费——而这堂课的考试,行业还远未及格。