安全研究团队STRIKE于2月9日指出，全球至少82个国家存在约4.29万个直接暴露在互联网上的OpenClaw代理型AI实例，其中约1.52万个存在远程代码执行漏洞，占暴露部署总量的三分之一以上，意味着这些实例可被黑客直接控制。

OpenClaw原名Clawdbot，曾短暂更名为Moltbot，并于今年1月29日重新命名为OpenClaw，是一套允许AI长期运行、主动执行任务并对接外部服务的代理型AI系统。

STRIKE团队指出，OpenClaw的安全隐患源于默认配置。该软件默认绑定到“0.0.0.0:18789”，意味着任何人都可通过网络连接访问。正确的安全配置应为“127.0.0.1:18789”，即仅允许本机访问。但OpenClaw却采用了“0.0.0.0:18789”，相当于将控制面板大门敞开。只要知道IP地址，黑客即可远程接入控制面板。多数用户缺乏技术知识，安装后不会修改设置，导致全球超过4万台设备同时暴露。

为实现高度自动化，OpenClaw通常被赋予模型API密钥、通信平台Token、Webhook密钥，甚至系统或云平台访问权限，相当于为用户或组织创建了一个可代表其行动的“数字代理人”。

因此，一旦这些OpenClaw实例被入侵，影响不仅限于单个系统被控制，还可能通过代理人已有的集成关系，进一步访问其他服务或系统。攻击者可利用被接管的代理人执行指令、读取文件，或对外发起操作，而这些行为往往伪装成合法用户的正常操作，极大增加了追踪与检测的难度。

研究还强调，代理型AI具备长期运行和自动化特性，使攻击不再是一次性入侵，而可能演变为持续性滥用。被入侵的OpenClaw实例可作为长期攻击节点，反复执行恶意任务，显著扩大实际危害。

值得注意的是，1月29日发布的OpenClaw版本修复了三个重大安全漏洞，分别是远程代码执行漏洞CVE-2026-25253、SSH指令注入漏洞CVE-2026-25157，以及Docker沙箱逃逸漏洞CVE-2026-24763。但根据STRIKE团队的扫描，在所有暴露实例中，仅有约22%使用“OpenClaw”名称，其余仍为Clawdbot或Moltbot，表明绝大多数暴露在公网上的实例仍存在相关漏洞。