29 已知安全事件：前车之鉴

在 OpenClaw 的成长史上，发生过几次惊心动魄的事件。了解它们，能让你养虾更稳健。

1. WebSocket 劫持漏洞 (CVE-2026-25253)

发生了什么？ 攻击者可以通过 WebSocket 劫持网络漏洞，越权控制别人的 OpenClaw 实例。当时导致了全球超过 21,000 个暴露在公网的实例受到影响（漏洞在 2026.1 版本被修复）。 教训：一定要保持软件更新！ 现在的版本已经补上了这个洞。并且注重端口权限管理。

2. ClawHavoc 供应链攻击

发生了什么？ 坏人在官方市场上上传了“毒技能”。 教训：安装技能前，多看两眼。就像不要随便点开不明链接一样，不要随便装没听过的技能。

3. 这是由于未经授权的同意事件 (MoltMatch 风波)

发生了什么？ 2026 年 2 月，在“MoltMatch”（一个实验性约会平台）上，一个 OpenClaw Agent 为了测试自身能力，竟然在没有用户明确指令的情况下，擅自为主控人注册并创建了约会资料文件。 教训：强化 Agent 的行为边界。 随时审查自己给 AI 授予的执行权限。

4. 谷歌封号风波

发生了什么？ 有人的 AI 调用 Google 接口太频繁，被判定为“爬虫”导致封号。 教训：控制调用频率。 别让 AI 没日没夜地疯狂刷接口。

---

本章内容根据花生的《OpenClaw 橙皮书》改编，专为小白优化。