北京
近日,一個名為“OpenClaw Exposure Watchboard”的公開監控頁面引發行業關注。
網頁上,列出了超22萬個暴露在公網的 OpenClaw 實例,覆蓋美國、新加坡、中國大陸等多個地區。作者明確提示:如果這是你的部署,應立即啟用身份驗證、移除公網暴露并打補丁。
頁面顯示,每條記錄包含公網 IP 與端口(多數為 18789 端口)、是否啟用認證(Auth Required)、是否在線(Is Active)、是否存在憑證泄露(Has Leaked Creds)、以及所屬運營商 ASN 信息等字段。
值得注意的是,大量實例的“Auth Required”字段為空,意味著未啟用訪問認證。同時,“Has Leaked Creds”一欄中有不少被標記為“Leaked”(紅色),表明可能檢測到明文憑證或 API Key 暴露風險。這意味著,部分運行中的 AI Agent 服務不僅對外開放,而且可能存在敏感信息泄露隱患。
從 ASN 信息來看,這些實例托管在包括騰訊、甲骨文、百度、阿里、華為
Hostinger、BedHosting等云基礎設施或數據中心網絡中,顯示出部署主體可能并非個人開發者設備,更多或涉及企業或生產環境。
OpenClaw 作為一類可執行“自主智能體”的運行環境,與傳統 Web 服務存在本質差異。智能體通常具備調用外部工具、訪問數據庫、執行代碼或與第三方 API 交互的能力。一旦未經鑒權暴露在公網,其潛在風險遠高于普通網站端口開放,可能導致數據泄露、權限濫用甚至業務系統被遠程操控。
通過該網站可以看出,一方面,Agent 正在快速進入真實生產環境,并且部署量已經爆炸;另一方面,Agent 在被大量“裸奔部署”,很多開發者本地測試成功后直接上云,開公網端口、沒加鑒權等,配套安全治理能力尚未完全成熟。
整理:褚杏娟
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
