/filters:no_upscale()/sponsorship/topic/614695a5-5e4d-4f5f-9c9a-a9d95f85b864/AkkaWebinarMar26-RSB-1771605862949.jpg)
InfoQ
·
AWS在Lightsail上推出托管的OpenClaw,面临严重安全漏洞
内容提要
AWS在Amazon Lightsail上推出了托管的OpenClaw部署,简化了AI代理的设置,但OpenClaw存在严重安全漏洞,影响数万实例,攻击者可远程执行代码。尽管AWS提供了一些安全措施,OpenClaw仍面临隐私和安全风险。
关键要点
-
AWS在Amazon Lightsail上推出了托管的OpenClaw部署,简化了AI代理的设置。
-
OpenClaw存在严重安全漏洞,影响数万实例,攻击者可远程执行代码。
-
AWS的托管服务旨在解决复杂的自托管设置和安全配置问题。
-
OpenClaw在GitHub上获得了超过250,000个星标,成为最受欢迎的非聚合软件项目。
-
CVE-2026-25253漏洞允许通过WebSocket令牌盗窃进行一键远程代码执行。
-
研究发现超过17,500个互联网暴露的实例易受该漏洞影响。
-
安全公司报告显示,全球有42,900个公开实例,其中15,200个确认易受远程代码执行影响。
-
OpenClaw的技能注册中心ClawHub中发现约900个恶意软件包,约占所有发布技能的20%。
-
中国和韩国的政府和企业对OpenClaw的使用发出警告和禁令。
-
AWS文档承认使用OpenClaw可能带来安全威胁,并提供了一些安全建议。
-
OpenClaw转型为独立的开源基金会,OpenAI将参与资助和贡献。
-
Lightsail蓝图提供了一些安全增强措施,但无法解决架构问题,OpenClaw仍然易受攻击。
-
AWS的定价包括Lightsail实例费用、Bedrock令牌费用和第三方模型的市场费用。
延伸解读
安全漏洞的严重性
OpenClaw的CVE-2026-25253漏洞使得攻击者能够通过WebSocket令牌进行远程代码执行,影响了超过17,500个互联网暴露的实例。这一漏洞的存在意味着用户的安全配置和数据隐私面临重大风险,尤其是在企业环境中,攻击者可以轻易获取敏感信息。
政府的警告与禁令
中国和韩国的政府对OpenClaw的使用发出了警告和禁令,反映出该平台在安全性方面的广泛担忧。这些措施不仅影响了企业的使用决策,也可能导致用户对OpenClaw的信任度下降,进而影响其市场接受度。
社区治理的转型
OpenClaw转型为独立的开源基金会,旨在减少单一维护者的风险并获得企业支持。这种治理结构的变化可能会促进更可持续的发展,但也需要社区的积极参与和监督,以确保安全性和功能的持续改进。
延伸问答
OpenClaw的安全漏洞是什么?
OpenClaw存在CVE-2026-25253漏洞,允许通过WebSocket令牌盗窃进行一键远程代码执行。
AWS推出托管OpenClaw的目的是什么?
AWS推出托管OpenClaw是为了简化AI代理的设置,解决复杂的自托管配置问题。
OpenClaw在GitHub上的受欢迎程度如何?
OpenClaw在GitHub上获得了超过250,000个星标,成为最受欢迎的非聚合软件项目。
使用OpenClaw的安全风险有哪些?
使用OpenClaw的安全风险包括远程代码执行、凭证盗窃和恶意软件包的存在。
AWS对OpenClaw的安全建议是什么?
AWS建议不要公开暴露网关,定期轮换令牌,并将凭证存储在环境文件中。
OpenClaw的技能注册中心ClawHub存在哪些问题?
ClawHub中发现约900个恶意软件包,占所有发布技能的20%。
