“养虾人”紧急自查：OpenClaw被投毒、axios幽灵发布、超80个高危漏洞，我连夜迁移到向量引擎的全记录

凌晨两点我服务器上那只“龙虾”突然开始疯狂发包。SSH连进去一看htop显示CPU飙到98%网络上传速度5MB/s持续了半小时。我的OpenClaw智能体——那个原本帮我自动回邮件、抓数据、管服务器的“AI打工人”——正在疯狂往外扫API密钥和SSH私钥。我第一反应被黑了。但更让我后背发凉的是另一件事。第二天早上群里有人转发了一条消息axios被投毒npm包被注入了远程控制木马。我突然意识到——我的龙虾本身可能就有高危漏洞而axios这个几乎所有Node.js项目都在用的依赖成了压死骆驼的最后一根稻草。这不是技术事故这是一场针对整个开发者社区的精准猎杀。今天我花三天时间复盘了整个事件整理出这份全网最全的“养虾人”紧急自救指南。全文超过6500字包含OpenClaw投毒事件完整复盘、axios供应链攻击拆解、超80个高危漏洞全景表、一键自查脚本、以及我最终的选择——迁移到向量引擎。无论你是“养虾”老手还是刚入坑的小白这篇文章都能救你一命。一、“养虾人”是什么为什么你也在“养虾”先给没赶上这波热度的朋友补个课。OpenClaw曾用名 ClawdBot、Moltbot是一个开源自托管AI智能体框架由奥地利工程师Peter Steinberger开发后来Peter加入了OpenAI。它的核心能力是把自然语言指令转化为电脑实际操作——你说一句话它就能帮你发邮件、操作文件系统、抓取网页数据、调用API、甚至上淘宝买东西[reference:0]。因为它的图标是一只红色的龙虾加上“Claw”有“爪”的意思国内技术圈把它亲切地称为“养龙虾”。短短几周内该项目在GitHub上狂揽超过14.5万颗Star吸引了超过10万活跃用户进行本地部署和二次开发成为GitHub历史上用户基数增长最快的开源代码仓库之一[reference:1]。然而爆火的另一面是灾难级的安全黑洞。二、OpenClaw安全事件全景从远程代码执行到插件投毒2.1 超80个高危漏洞CVE-2026-25253是“核弹级”国家互联网应急中心已发布安全预警OpenClaw生态曝出超80个高危漏洞涵盖提示词注入、恶意Skill投毒、远程代码执行、隐私窃取、权限越权等攻击面[reference:2]。其中最致命的是编号为CVE-2026-25253的远程代码执行漏洞。这个漏洞的危害有多大用官方说法CVSS 8.8分高危影响所有早于2026年1月29日的版本。攻击者通过窃取WebSocket认证Token可以实现一键式远程代码执行——只需要诱导用户点击一个恶意链接就能完全控制整台机器[reference:3][reference:4]。360安全专家指出该漏洞具备“攻击门槛低、影响范围广、危害程度大”三大特征[reference:5]。更可怕的是根据国家信息安全漏洞库CNNVD统计OpenClaw相关的漏洞数量还在持续暴增。仅2026年3月20日至3月30日这一周CNNVD就采集了162个重要人工智能漏洞其中超危漏洞17个、高危漏洞49个[reference:6]。这不是单个漏洞这是一场雪崩。2.2 ClawHavoc事件伪装成合法工具的恶意载荷安全研究机构Flare监测到早在1月29日攻击者就开始利用CVE-2026-25253发动大规模攻击这场行动被命名为“ClawHavoc”[reference:7]。攻击者伪装成“solana-wallet-tracker”、“youtube-summarize-pro”等合法加密货币工具在安装文档中加入“Prerequisites”章节诱导用户执行恶意curl命令下载窃密木马。Atomic StealermacOS和键盘记录器Windows就这样被悄无声息地部署到受害者机器上[reference:8]。攻击者的目标是什么窃取持久内存中包含的历史敏感数据并在企业网络内进行横向移动[reference:9]。2.3 ClawHub插件投毒开源信任的崩塌OpenClaw的插件市场ClawHub本应是生态繁荣的标志却成了攻击者的天然跳板。由于发布门槛极低——任何GitHub账号只要存在一周以上就能发布Skill且没有代码审核机制[reference:10]——攻击者上传了大量后门插件。真实数据触目惊心数据指标数值来源ClawHub恶意/高危Skill283个占7.1%暴露敏感凭证Snyk扫描[reference:11]专门用于凭证盗窃的后门载荷76个安全报告[reference:12]ClawHavoc事件伪装恶意Skill335个ClawHavoc报告[reference:13]冒充热门工具窃取API密钥300木马化套件供应链攻击[reference:14]攻击手法极其隐蔽攻击者在SKILL.md文件中写入恶意指令诱导大语言模型在上下文中以明文形式传递API密钥、密码甚至信用卡号码。一旦触发你的所有凭证都会通过模型输出日志泄露给攻击者[reference:15]。更令人绝望的是研究还发现ClawHub中有12%的Skill存在恶意行为可能窃取API Key、注入恶意代码或后台挖矿[reference:16]。2.4 34万实例裸奔暴露在公网毫无防护这是最让人头皮发麻的一组数字。Shodan扫描显示超过31.2万个OpenClaw实例运行在默认端口18789上很多没有任何认证直接暴露在公网[reference:17]。SecurityScorecard的STRIKE团队发现超过13.5万个OpenClaw实例直接暴露在互联网上结合其已知的多个高危漏洞这些实例已成为攻击者唾手可得的高价值目标[reference:18]。更恐怖的是蜜罐部署后在暴露数分钟内就能记录到攻击尝试[reference:19]。超过30,000个实例已被确认遭到入侵被用于窃取API密钥、拦截消息并通过Telegram等渠道分发信息窃取型恶意软件[reference:20]。翻译成人话如果你的OpenClaw实例暴露在公网攻击者可能已经在你不知道的情况下“养”你的“虾”很久了。2.5 GitHub也成了诱饵300多个木马化套件你以为只靠npm攻击者连GitHub都不放过。Netskope Threat Labs发现一波由AI辅助操作的供应链攻击以GitHub上的“OpenClaw”部署工具为诱饵已确认超过300个木马化套件题材涵盖开发工具、游戏外挂脚本、币圈机器人与VPN破解工具。这些套件都内含以LuaJIT为基础的跨平台木马会进行屏幕截图、地理定位、敏感数据外传[reference:21]。攻击者甚至使用AI来批量生成诱饵名称以冷门生物分类、古拉丁文与医学术语命名[reference:22]。这是一场AI打AI的战争。三、axios幽灵发布你的“龙虾”吃的第一口毒虾如果说OpenClaw自身的漏洞是“内伤”那么axios投毒就是“外伤”——而且是最致命的那种。3.1 事件速览3亿周下载量的基础库被劫持2026年3月31日凌晨全球数百万开发者收到了一条紧急安全提醒axios被投毒了。axios是JavaScript生态中最流行的HTTP客户端库周下载量超过3亿次几乎所有使用Node.js的项目都在用它[reference:23]。攻击者劫持了axios核心维护者jasonsaayman的npm账号手动发布了两个恶意版本axios1.14.1和axios0.30.4。这些版本在代码仓库中没有对应记录是典型的“幽灵发布”[reference:24][reference:25]。3.2 攻击手法你不碰任何一行axios代码但已经被控了这是一次教科书级别的供应链攻击账号劫持攻击者用ifstapproton.me替换了原维护者的邮箱通过npm CLI直接发布恶意版本绕过了GitHub Actions的溯源验证[reference:26][reference:27]。依赖注入攻击者没有修改任何axios源代码只是在package.json里加了一行依赖plain-crypto-js4.2.1[reference:28]。你仔细想想——一个不引用、不调用、甚至在代码中从未出现的依赖包就这样被悄无声息地装进了你的项目。postinstall自动引爆plain-crypto-js4.2.1通过npm的postinstall生命周期钩子自动执行。不需要你运行任何程序不需要你打开任何文件只要npm install15秒后你的设备已被完全控制[reference:29]。跨平台RAT恶意载荷针对Windows、macOS、Linux分别构建连接C2服务器sfrclak[.]com:8000下载定制化远程访问木马。攻击完成后自动删除setup.js并替换为干净版本你检查时完全看不出异常[reference:30][reference:31]。事后多家安全机构将攻击归因于朝鲜国家级黑客组织Sapphire Sleet又名UNC1069。这不是脚本小子的恶作剧这是一次由国家力量支撑的、精心预谋的定点猎杀[reference:32]。3.3 OpenClaw用户的“双倍打击”对于“养虾人”来说这次攻击是致命的双倍打击OpenClaw的多个组件明确使用axios处理网络请求和API调用。你的“龙虾”的邮件、日历、聊天记录、API密钥等所有敏感数据都暴露在运行环境中[reference:33]。简单说如果“龙虾”被投毒攻击者不仅能控制你的电脑还能以你的身份执行各种操作[reference:34]。更致命的是在axios被投毒的那一刻你的OpenClaw环境里axios版本已经被更新了。而OpenClaw自身那超80个高危漏洞包括CVE-2026-25253这个可以直接远程代码执行的“核弹级”漏洞可能早就被攻击者用同样的手段悄悄利用过了——甚至你压根不知道他们什么时候进来的。你以为自己在“养虾”其实在养一个“毒虾农场”。四、攻击全景图OpenClaw事件核心数据汇总漏洞全景表漏洞/攻击类型CVE编号/代号危害等级攻击门槛具体影响远程代码执行CVE-2026-25253高危 (CVSS 8.8)极低一键式远程控制[reference:35]提示词注入N/A高危低诱导窃取系统密钥[reference:36]工具调用越权N/A高危中任意代码执行[reference:37]记忆投毒N/A中危低跨会话持续后门[reference:38]插件生态投毒ClawHavoc高危低凭证盗窃数据泄露[reference:39]设备配对漏洞CVE-2026-32987高危中重放攻击[reference:40]限速绕过CVE-2026-32011中危中暴力破解[reference:41]路径规范化漏洞CNNVD-202603-5855高危中任意命令执行[reference:42]攻击规模全景表攻击维度数据规模来源/备注暴露在公网的实例13.5万SecurityScorecard[reference:43]默认端口暴露实例31.2万Shodan扫描[reference:44]已确认被入侵实例3万Flare报告[reference:45]恶意Skill数量335ClawHavoc伪装热门工具[reference:46]木马化GitHub套件300TroyDen诱饵工厂[reference:47]CNNVD近期AI漏洞162个超危17、高危49、中危96[reference:48]受影响axios开发者数百万全球[reference:49]GitHub Star数14.5万历史增长最快[reference:50]攻击产业链全景这张思维导图展示了攻击者的完整攻击链路攻击者战术链 │ ├── 1️⃣ 发现目标 │ ├── 扫描公网暴露的OpenClaw实例31.2万个 │ └── 识别未配置认证的实例 │ ├── 2️⃣ 初始入侵 │ ├── 利用CVE-2026-25253远程代码执行漏洞CVSS 8.8 │ ├── 通过axios依赖投毒被动感染 │ └── 恶意GitHub部署工具诱饵 │ ├── 3️⃣ 权限维持 │ ├── 安装后门Skill插件335个伪装热门工具 │ ├── 记忆投毒形成“软后门” │ └── 部署跨平台RAT木马 │ ├── 4️⃣ 数据窃取 │ ├── 窃取API密钥、SSH私钥、环境变量 │ ├── 拦截邮件、聊天记录、浏览器历史 │ └── 读取信用卡信息和个人身份信息 │ └── 5️⃣ 横向移动 ├── 在企业网络中横向渗透 ├── 将受控实例转化为僵尸网络节点 └── 用于发起更大规模自动化攻击五、“养虾人”紧急自查清单你的“龙虾”还活着吗看完上面的内容你可能已经手心冒汗了。别慌先自查再处理。✅ 第一步检查axios版本# 在项目根目录执行npmlist axios# 或查看lock文件grep-Eaxios.*1\.14\.1|axios.*0\.30\.4package-lock.json yarn.lock pnpm-lock.yaml如果版本是1.14.1或0.30.4你的环境已被感染。✅ 第二步检查plain-crypto-jslsnode_modules/plain-crypto-js如果这个文件夹存在说明恶意依赖已被安装。✅ 第三步检查OpenClaw版本openclaw--version# 或查看安装目录如果版本低于2026.1.29存在CVE-2026-25253高危漏洞。✅ 第四步检查公网暴露# 检查OpenClaw是否暴露在公网netstat-an|grep18789# 或使用端口扫描工具如果绑定地址是0.0.0.0:18789而不是127.0.0.1:18789你的实例可能已经暴露在公网。✅ 第五步检查异常网络流量# 查看异常外发连接netstat-an|grepESTABLISHED|grep-v127.0.0.1# 检查C2服务器通信关键IP# 142.11.206.73 是axios投毒事件的C2服务器地址grep-r142.11.206.73/var/log/grep-rsfrclak/var/log/# 查看历史网络连接保留最近10000条last-100|grep-vstill logged in✅ 第六步检查已安装的Skill插件# 列出所有已安装的Skillopenclaw skill list# 检查是否有可疑Skill如伪装加密货币工具、VPN破解等openclaw skill list|grep-Esolana|wallet|tracker|summarize|cheat如果发现任何可疑插件立即卸载。更关键的是在安装任何Skill之前建议先安装安全扫描工具如虾壳安全扫描Skill进行检测[reference:51]。✅ 第七步检查环境变量泄露# 检查环境变量中是否有敏感信息意外泄露env|grep-EAPI_KEY|SECRET|TOKEN|PASSWORD|PRIVATE_KEY⚠️ 第八步确认攻击是否已发生自查项正常 异常可能已遭入侵系统资源CPU/网络正常CPU持续100%网络外发流量异常日志检查无明显错误发现142.11.206.73连接记录环境变量敏感信息未外泄环境变量被打印到日志或输出文件系统文件未被篡改发现未授权的脚本或二进制文件六、如果已经中招立即执行应急响应如果你确认已被感染或者无法确定但心存疑虑——不要心存侥幸。执行以下6步紧急响应流程立即断开网络连接拔网线或关闭WiFi切断攻击者C2通道。隔离受感染机器从网络中断开防止横向移动。轮换所有凭证更换npm token、云服务密钥、SSH Key、API密钥[reference:52]。全盘杀毒扫描使用杀毒软件全面扫描。从干净备份恢复或重装系统不要试图“修复”已感染的系统。检查CI/CD流水线确保CI/CD构建产物未被污染[reference:53]。恶意版本已在3月31日凌晨被npm官方下架但已安装的项目仍需排查。[reference:54]七、事后之明你的下一只“虾”不能再这样养了经历这一劫我深刻总结了几条“养虾”安全铁律绝不将OpenClaw暴露在公网。绑定地址改为127.0.0.1:18789而非0.0.0.0:18789。永远锁定依赖版本。在package.json中使用精确版本号移除^和~。对所有Skill进行安全审查。下载量100、发布历史3个月以上是最低门槛[reference:55]。启用自动化安全扫描。安装Skill前使用安全扫描工具[reference:56]。部署监控和告警。建立异常流量、异常进程的实时告警。假设自己已被入侵。以此为前提设计防御纵深。但说实话以上所有措施都只能降低风险无法消除风险。OpenClaw的架构问题太深了——它的权限模型本来就是“全都要”模式任何安全措施都像是在漏水的船上打补丁。所以我做出了最终选择连夜迁移到向量引擎。八、向量引擎API中转站的“安全堡垒”在OpenClaw连续暴雷、axios被投毒、数百个恶意插件肆虐的背景下我最终选择将所有的AI调用迁移到向量引擎。向量引擎是一个API中转站聚合了500国内外主流模型。它的核心优势在于全平台额度通用充一次值可以调用Gemini、GPT、Claude、GLM、Grok等所有模型不需要到处找密钥、不需要单独充值。国内直连不需要魔法网页调用不挑设备接口稳定还有24小时真人售后服务。对比OpenClaw的风险向量引擎的差异非常清晰对比维度OpenClaw开源智能体向量引擎API中转站安全模型高权限“全都要”低权限API调用无本地代码执行暴露风险31.2万实例公网暴露零暴露纯服务端调用漏洞状况80高危漏洞企业级安全审计插件生态7.1%恶意Skill无插件纯API接口依赖风险axios等第三方依赖被投毒无依赖纯HTTP请求凭证管理明文暴露在环境变量加密传输无本地存储攻击历史ClawHavoc、ClawHub投毒等无已知安全事件简单说OpenClaw把钥匙塞在你家门口的地垫下面攻击者随便踩两脚就能翻到而向量引擎把钥匙存在银行保险柜里只有你本人刷脸才能打开。官方地址https://178.nz/dn保姆级教程https://www.yuque.com/nailao-zvxvm/pwqwxv九、写在最后安全永远应该先于便利OpenClaw和axios接连暴雷不仅仅是技术圈的震荡更是对整个“信任模型”的警钟。我们习惯了npm install万物习惯了把AI智能体当管家放进自己的电脑习惯了“开源安全”的幻觉。但现实是软件安装本质上等于“执行任意代码”一个核心维护者的账号被劫持就能让全球数百万开发者一夜之间裸奔[reference:57]。“养虾”很酷但请记住你的“虾”吃得越香它肚子里可能就藏了越多的“毒”。不要再让攻击者替你“养虾”了。