由于您提供的文本是一段HTML代码,它用于描述一个图像的属性和布局。因此,我无法直接将这段代码转换成中文或其他语言。如果您有具体的文字内容需要翻译,请提供该文字,我会很乐意帮助您进行翻译。
(来源:AWS的博客文章链接:https://aws.amazon.com/blogs/aws/introducing-openclaw-on-amazon-lightsail-to-run-your-autonomous-private-ai-agents/)
OpenClaw的发展势头十分迅猛。2026年初,这个项目在短时间内就获得了10万颗星级的评价,如今它已经成为GitHub上星级评分最高的非聚合型软件项目,其排名甚至超过了Linux和React。维基百科也提到了,该平台在短短一周内就吸引了200万名访问者。OpenClaw最初是由Peter Steinberger在2025年11月创建的,最初被命名为“Clawdbot”,后来先后更名为“Moltbot”和“OpenClaw”,最终在1月底确定了现在的名称。
就在AWS宣布推出OpenClaw的同时,该平台也暴露出了严重的安全问题。CVE-2026-25253这个漏洞于2月1日被公开,它影响所有早于2026.1.29版本的OpenClaw版本。利用这个漏洞,攻击者可以通过窃取WebSocket令牌来实现一键远程代码执行。一旦攻击者获得了这些令牌,他们就可以连接受害者的OpenClaw网关,修改安全配置,并在主机系统上执行具有特殊权限的操作。
Hunt.io的研究人员发现,有超过17,500个公开在互联网上的OpenClaw实例存在这一安全漏洞。一旦攻击者获得了这些令牌,他们就可以连接受害者的OpenClaw网关,修改安全设置,并在主机系统上执行高级操作。
多家安全机构对互联网进行了扫描,发现这个漏洞的影响范围非常广泛。Bitsight在1月至2月期间检测到了30,000多个暴露在互联网上的OpenClaw实例。SecurityScorecard的STRIKE团队报告称
供应链也受到了影响。Bitdefender在OpenClaw的技能注册系统“ClawHub”中发现了大约900个恶意软件包,这些恶意软件包占所有已发布的技能的20%。其中一些恶意软件非常明显:它们伪装成实用工具来窃取用户的登录凭证,或者提供持久的访问权限;而另一些则更加隐蔽,使用经过混淆的代码来绕过安全审查。这种攻击方式与针对npm和PyPI供应链的攻击类似,但后果更为严重。因为OpenClaw的技能是带着系统级别的权限运行的,它们可以直接访问消息、API密钥和文件等敏感数据。 这一安全问题引发了各国政府的重视。中国工业和信息化部发出了警告,韩国的一些科技公司也禁止在内部使用OpenClaw。一项关于令牌安全的研究指出,有22%的机构允许员工在未经信息技术部门批准的情况下使用OpenClaw,这就导致了那些绕过传统安全控制和企业治理框架的“影子AI系统”的出现。 AWS的官方文档也意识到了其中存在的风险,指出使用OpenClaw“如果操作不当,可能会带来安全威胁”。部署指南建议不要将网关公开暴露,要定期更换访问令牌,并且应该将认证信息存储在环境配置文件中,而不是配置文件里。然而,这些指导并没有详细说明所有可能的安全隐患。 2月中旬,在CEO萨姆·奥特曼于2月15日宣布这一任命后,斯坦伯格加入了OpenAI。斯坦伯格被描述为“一位天才”,他将会“推动下一代个人智能助手的发展”。OpenClaw现已转型为一个独立的开源基金会,OpenAI会为这个基金会提供资金支持并参与其运营。这种基金会架构能够实现更可持续的治理机制,降低由单一维护者带来的风险,同时也能让企业在不具备控制权的情况下为该项目提供支持。社区维护者们仍然会在MIT许可证的授权下继续进行开发工作。 Lightsail平台提供了一些安全加固措施,比如在沙箱环境中执行代码、通过设备配对进行身份验证,以及允许用户无需手动配置TLS协议即可通过HTTPS访问控制面板。然而,这些措施并不能解决底层架构层面的问题。OpenClaw仍然容易受到“提示注入”攻击的影响,即恶意数据中的指令会被系统误认为是合法的命令。Giskard的研究表明,精心设计的恶意提示甚至可以从正在运行的智能系统中提取API密钥、环境变量等各种敏感信息。 OpenClaw的设计赋予了这些智能系统系统级的权限,包括文件访问权、脚本执行能力,以及通过Playwright工具控制浏览器。不过,微软等安全研究机构警告称,如果这些权限配置不当,就会带来严重的安全风险。由于该平台与电子邮件、日历、消息服务等多种敏感系统进行了集成,虽然因此可以实现强大的自动化功能,但也同时增加了隐私和安全性方面的隐患。 AWS的定价方案包括了Lightsail实例的使用费用(建议选择4GB内存配置的套餐)、每条消息产生的Bedrock令牌费用,以及第三方模型可能需要的市场交易费用。如果数据传输量超过规定限额或需要创建快照进行备份,也会产生额外的费用。该服务在所有AWS商业区域都可用,具体哪些地区提供这项服务,可以参考相关文档。