2026年新年伊始，一个名为OpenClaw的开源项目在GitHub上迅速走红，其热度飙升速度令人惊叹。它在上线当天就斩获了超九千个星标，短短两周后，星标总数更是突破了十七万大关。一时间，其标志性的小龙虾图标占据了各大社交平台的热门版面，成为科技圈最炙手可热的话题。

然而，随着OpenClaw的爆火，第一批安全风险也随之而来。为了让这款AI智能体实现24小时持续运行，越来越多的用户选择将其部署在云端服务器上，但由于普遍缺乏安全意识，许多人在配置时留下了巨大的安全隐患。

不少用户在部署过程中，不慎将控制接口直接暴露在了公网环境下。OpenClaw默认通过18789端口提供控制服务，如果缺乏严格的身份验证机制，任何网络扫描工具都能轻易定位到它的存在。

一旦这些暴露的接口被攻击者连接，对方就能直接获得一个拥有系统最高权限的AI代理。原本为你提供便利的工具，瞬间就可能变成他人控制你电脑或服务器的跳板。目前，被扫描发现的、处于“裸奔”状态的OpenClaw实例数量已经高达27万。

针对这一乱象，OpenClaw的一位核心维护者Shadow在社交平台上直言不讳地指出，如果使用者连最基础的命令行操作都不熟悉，那么这个项目对你来说实在过于危险。盲目部署而不懂安全配置，无异于将自家大门的钥匙挂在了大街上。

安全专家也对此发出了紧急提醒。OpenClaw在部署时存在明显的信任边界模糊问题，且由于它具备持续运行和自主调用系统资源的能力，在缺乏权限审计机制的情况下，非常容易受到指令诱导或被外部恶意接管。

这种越权操作的风险极高，可能导致严重的个人信息泄露或系统彻底失控。用户在享受AI技术红利的同时，必须核查暴露情况，关闭不必要的访问端口，并完善身份认证与加密机制，守住最基本的安全防线。