安全警示:OpenClaw 資料庫洩漏事件
給遠端開發環境帶來的啟示
2026 年初 OpenClaw 爆發大規模資安危機:Moltbook 資料庫設定失誤導致約 150 萬枚 API 憑證外洩、42,665+ 實例暴露於網際網路、Skills 市集惡意套件竊取金鑰。本文從遠端 macOS 開發與 CI/CD 實戰角度,解析事件教訓與必做的加固措施。
01. 事件規模:從資料庫洩漏到全網暴露
OpenClaw 作為可在 macOS 上執行真實任務的開源 AI 代理,被廣泛用於遠端 Mac 集群上的 iOS 建置、自動化與 CI/CD。2026 年 1 月底至 2 月初,多起資安研究與實測揭露:預設組態與資料庫設定失誤,導致大規模憑證與對話紀錄外洩。
| 指標 | 數據 | 說明 |
|---|---|---|
| 暴露實例 | 42,665+ | 橫跨 82 國,93.4% 可被利用 |
| API 憑證外洩 | 約 150 萬枚 | Moltbook 資料庫設定錯誤 |
| 遠端程式碼執行 | 12,812 實例 | 可被利用執行任意程式碼 |
| 惡意 Skills | 824+ | 市集中 7.1% 洩漏憑證、76 個含惡意程式 |
外洩內容涵蓋 Anthropic API 金鑰、Telegram/Slack OAuth 憑證、SSH 金鑰、AWS 憑證與完整對話紀錄。對使用 OpenClaw 驅動遠端 Mac 建置或自動化的團隊而言,等同於開發環境與維運憑證一併暴露。
02. 根因:預設綁定與資料庫權限
兩大技術根因直接放大了傷害:閘道預設綁定 0.0.0.0:18789,使實例對外網開放且多數未啟用驗證;Moltbook 等後端資料庫權限設定不當,導致大量認證憑證與對話可被未授權存取。
預設組態的風險
許多團隊在 Mac 實體機或遠端叢集上直接以預設設定部署 OpenClaw,未將閘道限制在 loopback(127.0.0.1)或內網,也未啟用 token 驗證。一旦該節點可被網際網路掃描(例如透過 Shodan),即成為高價值目標。
CVE-2026-25253(CVSS 8.8)允許透過 WebSocket 劫持在一鍵內遠端執行程式碼並竊取認證憑證,且不要求實例必須對外網開放。內網或跳板機上的 OpenClaw 若未加固,同樣可能經由內部節點被橫向移動利用。
Skills 市集與供應鏈風險
ClawHub 等 Skills 市集中,研究發現 283 個 Skills(約 7.1%)會洩漏憑證,76 個含有竊取金鑰或後門的惡意程式。在遠端開發環境中,若 OpenClaw 以高權限或可存取 CI 變數的帳號執行,安裝未審核的 Skill 等同於主動交出整台 Mac 的存取權。
03. 對遠端 macOS 開發環境的啟示
在 MacDate 等提供的遠端 M4 實體機上,OpenClaw 常被用於 24/7 自動建置、TestFlight 發布或跨平台訊息觸發。此類環境通常具備:
- 高權限帳號:可執行 xcodebuild、存取憑證與描述檔
- 持久連線:VPN 或跳板機使開發者與自動化系統可連入
- 敏感資料:App Store Connect API 金鑰、簽章憑證、企業密鑰
一旦 OpenClaw 遭入侵或憑證經由洩漏的資料庫/惡意 Skill 外流,攻擊者即可取得該 Mac 的實質控制權,進一步竊取原始碼、簽章或發布惡意建置。
遠端開發環境中的 AI 代理與自動化元件,應視為「高信任度、高攻擊面」的組件:預設不信任對外暴露、嚴格限制網路綁定、憑證與金鑰透過環境變數或密鑰管理服務注入,且不寫入日誌或資料庫。
04. 實戰加固:綁定、驗證與隔離
以下措施可直接套用在基於 macOS 的遠端開發與 OpenClaw 部署上。
4.1 僅綁定 loopback 或內網
將 OpenClaw 閘道綁定至 127.0.0.1:18789,僅允許本機或經由 SSH 轉埠存取;若需從其他內網機器連線,改為綁定內網 IP 並搭配防火牆規則,禁止從網際網路直接存取 18789。
# 僅本機存取(建議)
# 在啟動參數或設定中將 bind 設為 127.0.0.1
# 透過 SSH 轉埠從本機連到遠端 Mac 上的 OpenClaw
ssh -L 18789:127.0.0.1:18789 user@remote-mac-date-node4.2 啟用 Token 驗證並關閉對外 Control UI
為閘道啟用 token 或 API 金鑰驗證,並禁止 Control UI 對外網開放。僅透過已認證的通道(例如 SSH 轉埠 + 本機瀏覽器)操作介面。
4.3 憑證與金鑰隔離
使用部署設定檔或執行時注入(runtime injection)將 API 金鑰、Telegram/Slack token 等注入代理,避免寫入 Moltbook 或日誌。金鑰存放於 macOS Keychain 或企業密鑰管理(如 HSM/Vault),並以最小權限原則授權 OpenClaw 程序。
4.4 Skills 審核與網路隔離
僅安裝經內部審核的 Skills;對外連線透過防火牆與代理白名單控制,降低惡意 Skill 外連或 SSRF 的影響範圍。在實體隔離的 Mac 集群中,可進一步將 OpenClaw 節點置於獨立 VLAN,僅允許與建置機、版本庫與必要 API 端點通訊。
05. 與實體隔離架構的協同
MacDate 提供的 macOS 實體機集群本身即具備實體隔離與專屬網路,可在此基礎上實施「閘道僅綁定內網 + 憑證不落盤 + Skills 白名單」的策略。如此一來,即便 OpenClaw 或依賴的資料庫日後再出現漏洞,攻擊面仍侷限在單一租戶的內網,不會因預設對外暴露而遭全球掃描與批量利用。
結合 IP 白名單、VPN 與零信任存取,遠端開發環境中的 OpenClaw 即可在享受自動化效益的同時,將資料庫洩漏事件帶來的教訓轉為可執行的防護措施。
06. 遠端開發環境快速檢查清單
部署或維運使用 OpenClaw 的遠端 Mac 時,建議至少完成以下項目:
- 閘道綁定:確認僅綁定 127.0.0.1 或內網 IP,未使用 0.0.0.0
- 驗證機制:已啟用 token 或 API 金鑰驗證,Control UI 不對外網開放
- 憑證隔離:API 金鑰、OAuth 憑證經由環境變數或密鑰服務注入,未寫入資料庫或日誌
- Skills 來源:僅安裝經審核的 Skills,並定期檢查已安裝套件是否有已知惡意清單
- 網路與防火牆:對外僅開放必要埠(如 SSH),18789 等閘道埠僅允許來自信任網段
可搭配 Shodan 或內部掃描定期檢查是否有實例誤綁 0.0.0.0 並暴露於網際網路,及早發現組態錯誤。
結語
OpenClaw 資料庫洩漏與大規模憑證外洩事件,為所有在遠端 Mac 上部署 AI 代理與自動化的團隊上了一課:預設組態不應直接對外、憑證與金鑰必須隔離與最小權限、第三方 Skills 需審核。在基於 macOS 的遠端開發環境中,將閘道限於 loopback 或內網、啟用驗證、並與實體隔離與網路策略結合,是當前最務實且可立即落地的加固方式。