3 月 19 日,凌晨。Hacker News 首頁上突然冒出一行標題:「OpenClaw 一週內被披露 9 個 CVE。」
三個小時後,Shodan 掃出 13.5 萬台 OpenClaw 實例正在公網裸奔,63% 連 gateway 認證都沒開。同一週,這個項目在 GitHub 上的星數剛突破 180K,成為史上最快破 100K 星的 AI 開源項目之一。
我這幾天裝過、拔過、重裝過。這篇文章把我看到的全部講清楚——OpenClaw 到底是什麼、為什麼半年內爆紅、那些 CVE 嚴不嚴重、什麼樣的人現在該裝、什麼樣的人應該再等等。
OpenClaw 是什麼?一句話:你家裡跑的 ChatGPT,但接 24 個 IM
OpenClaw 是一個自託管(self-hosted)的個人 AI 助手。它不是雲端服務,是你自己在家裡的電腦或一台 Raspberry Pi 上跑起來的程式,跑完之後可以原生接上你常用的 24 個訊息平台:
WhatsApp、Telegram、Slack、Discord、Microsoft Teams、iMessage、Signal、Google Chat、WeChat、QQ、LINE、Feishu、Matrix、Mattermost、IRC、Twitch、Zalo、BlueBubbles、Synology Chat、Nostr、Tlon、Nextcloud Talk、WebChat、再加一個內建的 web 介面。
後端可以接 Claude Opus、GPT-4o/5、Gemini、Llama 3.3 70B、DeepSeek、Moonshot Kimi、MiniMax,或是接你本機的 Ollama 跑 local model 完全不上雲。
跟一般 ChatGPT 訂閱比起來,OpenClaw 的訴求很直接:
- 資料留在你家:對話、記憶、檔案都在你自己機器上,廠商看不到。
- 跨平台單一大腦:你在 WhatsApp 跟它聊到一半,跳到 Telegram 它還記得你。
- 不被綁訂閱:跑哪個模型自己選,明天 Claude 漲價就切到 Gemini。
- 免費:開源,本身不收錢,你只付 LLM API 用量費(或不付,跑 local model)。
它怎麼從沒人看到 180K stars 只用了 3 個月
故事其實有點戲劇性。2025 年 11 月,奧地利開發者 Peter Steinberger 把自己用的個人 AI 助手 push 到 GitHub,名字叫 Clawdbot——是 Claude 加 lobster(龍蝦)的諧音梗。專案默默躺了兩個月沒人理。
2026 年 1 月底,有人把它丟上 Hacker News 首頁。三天內爆 5 萬星。1 月 27 日他改名 Moltbot,1 月 30 日再改成現在的 OpenClaw。到 2 月中旬,這個倉庫已經破 18 萬顆星,網站一週湧進 200 萬訪客。
能爆紅不是運氣。它打中了一個明確的痛點:很多人想把 AI 接進自己的工作流(不只是去 ChatGPT 開新視窗),但又不想把所有對話都丟給 OpenAI。OpenClaw 一條 openclaw onboard 指令搞定 gateway、workspace、channels、skills,把過去要懂 docker compose、reverse proxy、IM bot 設定才能做的事,壓縮成一個對話式安裝精靈。
但 3 月 18-21 日,連續 4 天爆出 9 個 CVE
這就是這個項目最分裂的地方。一邊是星數史上最快增長,一邊是有史以來最難看的開源 AI 項目資安履歷之一。
從 2 月到 4 月,總共追蹤到 138 個 CVE,其中 7 個 Critical、49 個 High。我把最嚴重的三個整理出來,這是真正會影響你裝不裝它的:
| CVE 編號 | 俗稱 | CVSS | 白話翻譯 |
|---|---|---|---|
| CVE-2026-25253 | ClawBleed | 8.8 | 你打開一個釣魚網頁,網頁悄悄連到你本機的 OpenClaw,下指令給它幹活。已被野外利用。 |
| CVE-2026-32922 | ClawJacked | 9.9 | 整個 agent 被遠端接管,攻擊者直接用你的身份在 24 個 IM 裡發訊息。 |
| CVE-2026-41349 | Sandbox Escape | — | 你叫 OpenClaw 跑一段沙盒裡的 prompt,它生出來的子行程沒繼承沙盒,等於沒裝。 |
更難看的是 ClawHavoc 供應鏈攻擊:3 月底有人查出 ClawHub(OpenClaw 的 skill 套件市集)大約 12% 的 skill 被植入惡意程式碼。意思是你沒裝錯主程式,只是裝了一個社群上很多人推薦的「skill」,就可能把家裡的 AI 變成攻擊者的後門。
「自託管」這四個字,過去半年被吹得像是 AI 自由的終極方案。但它的另一面是:所有原本由 OpenAI、Anthropic 替你扛的安全責任,現在全部回到你自己頭上。
13.5 萬台正在裸奔是什麼意思
3 月 23 日 Shodan 上的掃描數字:13.5 萬台 OpenClaw 實例公網可達。當中:
- 63% 沒開 gateway 認證——任何人從外面就能連進來下指令。
- 大約 4 成跑的還是 1 月份的初版,連 ClawBleed 的 patch 都沒打。
- 2,000 多台直接把 API key 寫在公開的 config 檔裡,被掃出來就送錢。
Cisco 在 4 月初的部落格直接把這類個人 AI agent 定性為「security nightmare」。理由不是 OpenClaw 寫得特別爛,而是這類產品的攻擊面太大——你接了 24 個 IM、跑著 LLM、開著本地 WebSocket、裝著第三方 skill,每多一條都是一個入口。
Tony 的判斷:誰現在該裝、誰不該
講重點。我不認為 OpenClaw 是個爛項目,剛好相反——它解決的問題真實存在,社群迭代速度也夠快(大部分 CVE 在 4 月初已經出補丁)。但它現在的狀態,明顯不是「無腦推薦給所有人」的階段。
適合現在裝的人:
- 會看 docker-compose、知道什麼是 reverse proxy、會關防火牆 port。
- 有家用 NAS 或 homelab,OpenClaw 跑在內網不對外。
- 本來就有用 Telegram bot / Slack bot 做自動化,OpenClaw 只是換個更好用的核心。
- 願意每週看一下 OpenClaw 的 release notes 和 advisory。
建議再等等的人:
- 看到「3 分鐘搭好你家的 ChatGPT」就想衝的散戶。
- 連雲端 ChatGPT 訂閱都覺得貴所以想自己跑——你省下來的訂閱費,可能不夠賠你 API key 被盜刷的 LLM 帳單。
- 主要訴求是「資料隱私」但其實機器是放在 VPS、自己也不會配防火牆的人。這種狀態下,OpenAI 看你的對話的風險,遠低於隨便一個掃 Shodan 的腳本看你的對話。
真的要裝,這 5 件事先做完
給願意承擔自託管責任的人一份最小清單:
- 升到最新版:直接 main branch,避開 2026/03 之前的所有版本。
- 打開 gateway 認證:
openclaw config gateway.auth=required,這一條解決了 13.5 萬裸奔機器中大半的問題。 - 不要對外開 port:OpenClaw 跑內網,要遠端用就用 Tailscale / Cloudflare Tunnel,不要直接 port forwarding。
- ClawHub skill 只裝官方驗證過的:社群 skill 在 ClawHavoc 之後已經導入簽章,沒簽章的別裝。
- API key 用次要帳號 + 設預算上限:OpenAI、Anthropic 都支援按 key 設月限額,把上限拉到你能接受被盜刷的金額。
給散戶的非二元結論
OpenClaw 不是「自託管 = 自由」也不是「自託管 = 災難」。它是 2026 年第一個讓「擁有自己的 AI」這件事變得真的可行的開源項目,但同時也是第一個用 138 個 CVE 提醒所有人——擁有的代價是責任。
過去訂閱 ChatGPT 的時候,你把資料的所有權給了 OpenAI,換來他們的安全團隊替你扛。現在你把資料拿回來,那同一份扛責任的工作就回到你身上。沒有中間地帶。
真正值得問的不是「OpenClaw 安不安全」,是「我願不願意、有沒有能力,自己當自己 AI 的 IT 部門」。
願意,往下裝;不願意,繼續訂閱別人的服務沒有羞恥。但別中間——一邊高喊資料主權,一邊把你家的 AI 大門開給整個 internet,那才是現在最危險的姿勢。
本文僅為個人技術觀察與意見,不構成投資建議。文中提到的軟體、服務、價格皆以撰文時資訊為準(截至 2026 年 4 月 25 日)。自託管 AI 涉及資安風險,請依自身能力判斷。
發表迴響