北京
近日,一個(gè)名為“OpenClaw Exposure Watchboard”的公開(kāi)監(jiān)控頁(yè)面引發(fā)行業(yè)關(guān)注。
網(wǎng)頁(yè)上,列出了超22萬(wàn)個(gè)暴露在公網(wǎng)的 OpenClaw 實(shí)例,覆蓋美國(guó)、新加坡、中國(guó)大陸等多個(gè)地區(qū)。作者明確提示:如果這是你的部署,應(yīng)立即啟用身份驗(yàn)證、移除公網(wǎng)暴露并打補(bǔ)丁。
頁(yè)面顯示,每條記錄包含公網(wǎng) IP 與端口(多數(shù)為 18789 端口)、是否啟用認(rèn)證(Auth Required)、是否在線(Is Active)、是否存在憑證泄露(Has Leaked Creds)、以及所屬運(yùn)營(yíng)商 ASN 信息等字段。
值得注意的是,大量實(shí)例的“Auth Required”字段為空,意味著未啟用訪問(wèn)認(rèn)證。同時(shí),“Has Leaked Creds”一欄中有不少被標(biāo)記為“Leaked”(紅色),表明可能檢測(cè)到明文憑證或 API Key 暴露風(fēng)險(xiǎn)。這意味著,部分運(yùn)行中的 AI Agent 服務(wù)不僅對(duì)外開(kāi)放,而且可能存在敏感信息泄露隱患。
從 ASN 信息來(lái)看,這些實(shí)例托管在包括騰訊、甲骨文、百度、阿里、華為
Hostinger、BedHosting等云基礎(chǔ)設(shè)施或數(shù)據(jù)中心網(wǎng)絡(luò)中,顯示出部署主體可能并非個(gè)人開(kāi)發(fā)者設(shè)備,更多或涉及企業(yè)或生產(chǎn)環(huán)境。
OpenClaw 作為一類(lèi)可執(zhí)行“自主智能體”的運(yùn)行環(huán)境,與傳統(tǒng) Web 服務(wù)存在本質(zhì)差異。智能體通常具備調(diào)用外部工具、訪問(wèn)數(shù)據(jù)庫(kù)、執(zhí)行代碼或與第三方 API 交互的能力。一旦未經(jīng)鑒權(quán)暴露在公網(wǎng),其潛在風(fēng)險(xiǎn)遠(yuǎn)高于普通網(wǎng)站端口開(kāi)放,可能導(dǎo)致數(shù)據(jù)泄露、權(quán)限濫用甚至業(yè)務(wù)系統(tǒng)被遠(yuǎn)程操控。
通過(guò)該網(wǎng)站可以看出,一方面,Agent 正在快速進(jìn)入真實(shí)生產(chǎn)環(huán)境,并且部署量已經(jīng)爆炸;另一方面,Agent 在被大量“裸奔部署”,很多開(kāi)發(fā)者本地測(cè)試成功后直接上云,開(kāi)公網(wǎng)端口、沒(méi)加鑒權(quán)等,配套安全治理能力尚未完全成熟。
整理:褚杏娟
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
網(wǎng)球之家
