OpenClaw安全风险提示

一、现象背景：爆火背后的安全隐忧

OpenClaw（曾用名 Clawdbot、Moltbot）是 2026 年初快速走红的开源 AI 智能体工具，核心优势在于可通过自然语言指令，自动完成系统命令执行、文件读写、网页浏览、邮件管理等实操性任务。该工具支持 Telegram、Slack 等多平台接入，可通过官方插件市场 ClawHub 灵活扩展功能，凭借 “本地部署 + 高自动化” 的特点快速出圈，GitHub 星标短期内突破 183K，成为现象级开源产品。

但在快速普及的同时，其系统性安全风险集中暴露：工具本身存在架构级先天设计缺陷，短期内连续曝出多个高危漏洞；插件生态缺乏有效监管、大量部署实例未做防护直接暴露公网（国内已超 1.4 万个），多重问题叠加导致数据窃取、主机远程控制等真实攻击频发，目前已被工信部、北京市大数据中心等权威机构发布安全预警，需重点警惕。

二、核心安全风险：三大维度全面拆解

（一）先天设计缺陷：架构级安全短板

默认配置存在严重安全隐患早期版本默认监听 0.0.0.0（全网可访问），大量用户在不知情情况下将实例暴露公网，极易成为扫描与攻击目标。

本地信任模型存在设计漏洞错误采用 “本地连接即可信” 策略，缺乏暴力破解防护、设备认证等机制；在 Nginx/Caddy 反向代理场景下，公网访问会被识别为可信流量，直接导致未授权接管。

权限边界模糊，违背最小权限原则核心组件与第三方插件默认持有高权限（部分为 root 级），一处被攻破即可导致整机失控。

对 AI 新型攻击无有效防护未针对提示词注入、间接注入、记忆投毒等智能体特有攻击设计防护机制，易被外部内容诱导执行危险操作。

安全治理与漏洞响应严重滞后项目重功能迭代、轻安全保障，GitHub 仓库积压 6700+ 未处理问题，大量漏洞与缺陷长期未修复。

（二）高危漏洞：可直接利用的攻击入口

（三）实战威胁：已落地的真实攻击场景

提示词注入（含间接注入）攻击者在网页内容、邮件正文、文档文件中隐藏恶意指令，智能体在执行 “内容读取”“信息总结” 等正常任务时，误将恶意指令判定为合法步骤，自动执行数据外发、文件读取等操作。此类攻击为 0-click 攻击，技术门槛低、传播范围广、隐蔽性极强。

插件供应链投毒（ClawHavoc 事件）ClawHub 插件市场初期无有效安全审核机制，第三方插件可自由上传。检测显示，平台 3000 余个插件中恶意样本占比 10.8%（共 336 个），通过 “Base64 混淆→解码→远程下载→本地执行” 链路植入木马、窃取凭证。虽官方已联合安全厂商清理，但 GitHub 历史备份仓库仍留存部分恶意样本，存在二次传播风险。

企业影子 AI 风险部分员工未经企业信息部门审批与安全评估，私自部署 OpenClaw 并授予高系统权限，使其可访问内部网络、业务数据及云平台凭据。此类 “影子 AI” 不受统一安全管控，一旦被劫持，将直接成为渗透企业内网的跳板，威胁核心业务与数据安全。

记忆投毒与长期控制攻击者通过多轮对话，将恶意规则写入智能体长期记忆或向量数据库，规则跨会话持续生效，形成 “软后门”，在用户无感知下反复触发风险行为，且难以追溯攻击源头。

三、影响范围：全链路安全危害

数据安全：可窃取 SSH 密钥、API 凭证、业务文档、用户隐私等敏感信息并外发，造成核心数据泄露；

系统安全：实现远程代码执行、权限提升、植入后门，甚至投放勒索软件，导致主机完全失控；

业务安全：在恶意诱导或错误推理下，误改配置、删除关键文件、中断自动化流程，引发生产事故与业务中断；

合规安全：未经授权访问与传输敏感数据，易违反《数据安全法》《个人信息保护法》等法规，且多数场景缺乏完整审计留痕，事故后难以界定责任主体。

四、分级治理建议：紧急处置 + 长效防御

（一）紧急措施

立即升级至 2026.2.25 及以上安全版本，关闭未使用的高危功能；

严格网络隔离，禁止绑定 0.0.0.0，仅允许 127.0.0.1 本地访问；远程管理必须通过 VPN/SSH 隧道；

全面清理插件，卸载不明来源插件，仅保留 ClawHub 官方 Verified 认证插件；

强化身份认证，设置≥12 位高强度密码并启用 MFA 多因素认证，严禁匿名访问；

规范凭证管理，密钥、Token 等使用环境变量或密钥管理服务存储，禁止硬编码。

（二）长效防御（企业及高安全场景）

沙箱隔离运行：在 Docker、Firejail（Linux）、sandbox-exec（macOS）等隔离环境部署，严格限制文件、网络、系统命令访问范围；

最小权限管控：使用专用低权限账户运行，杜绝 root / 管理员权限；文件访问采用白名单，仅允许指定目录操作；

外部输入防护：系统层面区分 “用户指令” 与 “外部内容”，降低网页、邮件、文档等外部信息决策优先级，禁止自动执行外部指令；

记忆与向量库安全：禁用敏感数据记忆存储，开启记忆审计、回滚与清除机制；向量数据库实现租户隔离与越界检索防护；

企业统一治理：建立 AI 智能体准入审批制度，禁止私自部署；部署日志审计、IDS/IPS、EDR，重点监控异常命令与网络连接，确保可追溯、可审计。

（三）绝对禁止行为

点击任何与 OpenClaw 相关的陌生链接、邮件附件或二维码；

在对话界面、配置文件中输入密码、私钥、API 密钥等敏感信息；

安装未经安全审核、来源可疑的第三方插件、脚本或工具；

未经 IT 批准，在内网、生产环境、涉密场景中部署使用 OpenClaw。

五、总结

OpenClaw 是 AI 智能体自动化方向的典型代表，但现阶段仍属于高风险实验性工具。其安全风险并非来自单一漏洞，而是功能优先于安全的设计理念带来的系统性问题，集中体现为架构缺陷、漏洞频发、公网暴露、供应链污染、权限失控等。

建议个人用户避免在敏感场景使用，企业用户严禁接入生产环境与内网。如需试用，必须采取严格隔离、最小权限、全流程审计等纵深防御措施，待项目安全架构成熟、生态治理完善后，再逐步推进落地。

本文链接：https://www.idcbest.com/cloundnews/11016911.html