一、OpenClaw是什么？为什么它风险极高？

OpenClaw（曾用名 Clawdbot、Moltbot）是一个「可本地部署」的AI智能体框架。它的核心不是陪你聊天，而是「替你干活」：

1.「任务自动化」：帮你处理邮件、管理日历、办理航班值机。

2.「系统交互」：可以直接在你的电脑上执行终端命令、运行脚本、读写文件。

3.「多平台集成」：你可以通过微信、WhatsApp、Telegram等日常通讯工具指挥它。

4. 「能力扩展」：通过官方市场 ClawHub 安装各种 “技能”（Skill），让它能做更多事，比如操作数据库、进行加密货币交易。

 「正是这种“高权限”和“强执行”的特性，让它成为黑客眼中的“香饽饽”。」 一旦失守，攻击者相当于拥有了你系统的“遥控器”。

二、根本问题：功能狂奔，安全“裸奔”

OpenClaw暴露出的安全问题并非孤立的漏洞，而是一系列「系统性缺陷」的集爆发：

 1.「默认配置“裸奔”」：早期版本默认将控制界面绑定到 0.0.0.0 （所有网络接口），导致大量实例直接暴露在公网，任人扫描。

2.「脆弱的“家贼难防”逻辑」：系统默认信任来自本机（localhost）的连接，认为“本地来的就是安全的”。这直接催生了后续的“零点击”劫持漏洞。

3.「权限边界模糊」：核心组件和第三方技能往往被授予过高的系统权限，一旦某个环节被攻破，攻击者就能长驱直入。

4.「“应用商店”无人审核」：官方技能市场 ClawHub 初期允许任何人上传“技能”，缺乏安全审核，直接导致了大规模的供应链投毒事件。

5.「对AI新型攻击束手无策」：对「提示词注入」（尤其是通过邮件、网页内容进行的“间接注入”）缺乏有效防御，攻击者可借AI之手窃取数据。

三、近期主要安全漏洞与风险事件盘点

以下是我们为你梳理的关键漏洞和事件，其中不乏能让攻击者“一键接管”你电脑的高危风险。

🎣 核心框架高危漏洞

1.「CVE-2026-25253（一键RCE）」

「核心风险」：攻击者可构造恶意链接，受害者点击后，攻击者即可窃取认证令牌，实现「远程命令执行」，完全控制受害者设备。「修复版本」：2026.1.30

2.「ClawJacked（CVE-2026-25593，零点击劫持）」

「核心风险」：用户只需「访问一个恶意网站」，该网站即可通过浏览器的WebSocket连接，对本地OpenClaw网关进行「无限制的密码暴力破解」，并在成功后静默注册恶意设备，实现“零点击”接管。

「修复版本」：2026.2.25

3.「Gateway反向代理认证绕过」

「核心风险」：在使用了Nginx等反向代理的错误配置下，攻击者可绕过认证，「直接访问高权限的控制界面」，获取所有配置和对话历史。

「修复状态」：需用户正确配置 trustedProxies 。

🎣 新型AI攻击：提示词注入

1.「邮件/网页抓取间接提示词注入」

「核心风险」：攻击者向用户发送一封包含隐藏指令的邮件，或在自己的网页中植入不可见的恶意文本。当OpenClaw自动阅读邮件或总结网页内容时，会“中毒”并执行攻击者指令，如「读取本地私钥并发送给攻击者」。

「杀伤力」：这是AI时代独有的攻击方式，利用了AI对“数据”和“指令”的混淆。

2.「日志投毒」

「核心风险」：攻击者通过向应用日志中写入恶意指令，当管理员或AI后续分析日志时，触发指令执行，实现「持久化控制」。

「修复版本」：2026.2.14

📦 生态与供应链安全危机

1.「ClawHavoc（大规模供应链投毒）」

「核心风险」：安全研究人员在官方插件市场 ClawHub 中发现了「341个恶意“技能”」。它们伪装成实用工具，实际会下载并执行窃密木马（如针对macOS的Atomic Stealer），「盗取用户邮箱、API密钥和登录令牌」。

「警示」：下载任何“技能”前，务必确认其来源和安全性。

2.「Moltbook 社区数据库暴露」

「核心风险」：OpenClaw生态中的一个知名安全社区Moltbook，因其使用的数据库未启用基本访问控制，导致「约150万组API与认证令牌、3.5万用户邮箱」等敏感信息暴露。攻击者可利用泄露的令牌「直接接管AI智能体账号」。

🌐 部署与配置风险

1.「公网大规模暴露」

「数据」：根据知道创宇404实验室的测绘数据，截至2026年3月4日，全球有「超过6.5万个OpenClaw实例可被识别」，其中「85%以上（约5.3万个）采用默认端口映射部署」，直接暴露在公网。

「后果」：任何人都可能扫描到这些实例并尝试攻击。

2.「企业“影子AI”风险」

「核心风险」：员工为图方便，私自在内网或办公电脑安装OpenClaw，其高权限特性可能成为攻击者突破企业防线、横向移动的“跳板”。

四、紧急自救：给你的“龙虾”上把锁

面对如此多的风险，作为用户，你必须立刻行动起来。

✅ 紧急措施（所有用户必须执行）

1.「立即升级」：将你的OpenClaw「更新至 2026.2.25 或更高版本」。这是修复已知高危漏洞（尤其是ClawJacked）的前提。

2.「切断公网暴露」：检查配置，「严禁将服务绑定到 0.0.0.0 」。应确保其只监听 127.0.0.1 （本地地址）。如需远程访问，务必通过「VPN 或 SSH 隧道」，切勿直接映射端口到公网。

3.「审查并清理插件」：立即检查已安装的 “技能”（Skill），「卸载所有来源不明、不再使用或非官方验证的插件」，尤其是那些要求过高权限的。

4.「强化访问认证」：为你的OpenClaw网关「设置一个高强度的复杂密码」，并检查是否支持并启用了多因素认证（MFA）。

5.「保护敏感信息」：API密钥、数据库密码等敏感信息应使用「环境变量或专门的密钥管理服务」存储，绝对不要硬编码在配置文件或对话中。

🛡 进阶防御（企业及高安全需求用户）

1.「沙箱隔离运行」：在 「Docker容器」 中运行OpenClaw，并严格限制容器的资源访问权限（如仅挂载必要目录）。Linux用户可使用Firejail，macOS用户可使用 sandbox-exec 。

2.「遵循最小权限原则」：在操作系统层面，「创建一个专用的、低权限的系统账户」来运行OpenClaw进程，杜绝使用root或管理员账户。

3.「部署监控与审计」：重点监控OpenClaw进程的「网络连接行为」和「执行的异常命令」。部署日志审计、入侵检测系统，及时发现异常。

4.「制定企业AI治理政策」：明确将AI智能体这类“非人类身份”纳入企业资产管理，对其安装、授权、行为进行审批和全生命周期监控。

❌ 绝对禁止的红线行为

    1. 不要点击任何声称与OpenClaw相关的不明链接，特别是那些带有诱导性的。

    2. 不要在对话或任何Prompt中输入你的密码、私钥、API令牌等。

    3. 不要安装任何未经审核、来源可疑的“技能”。

    4. 在企业环境中，未经IT和安全部门批准，严禁私自安装和使用此类高权限AI工具。

五、总结

OpenClaw的出现，是AI从“对话”走向“行动”的一个重要标志。它让我们看到了AI助手的巨大潜力，但同时也用一连串的漏洞和安全事件给我们敲响了警钟：「当AI拥有过高权限时，功能强大与安全可控必须并行。」对于用户而言，必须摒弃“默认设置即安全”的幻想，「主动采取纵深防御策略」。希望本文的梳理能帮助你更全面地了解风险，并立即采取行动，保护好自己的数字世界。