大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结： 报告深度剖析AI智能体框架OpenClaw存在的严重安全隐患，指出全球超25万实例暴露且三成存在远程代码执行漏洞。根源涉及默认配置不安全、权限粗放及供应链投毒等六大缺陷。文章结合黑客攻击链与真实案例，提出紧急升级隔离、沙箱部署等纵深防御策略，并依据监管要求提供全生命周期治理方案，强调构建匹配AI行动力的安全制动系统。 综合评分： 87 文章分类： AI安全,漏洞分析,安全建设,解决方案

---

竞远网络安全

2026年3月10日 18:10 广东

OpenClaw（龙虾）的安全深度报告-安全剖析与防护之道

揭秘AI智能体框架的致命漏洞与全面防御指南

核心提要：一份必须重视的安全预警

2026年初，一款名为 OpenClaw（开源龙虾，曾用名Clawdbot、Moltbot） 的AI智能体框架席卷全球。它不仅是能对话的聊天机器人，更是能直接操作你电脑的”数字员工”。然而，工业和信息化部网络安全威胁和漏洞信息共享平台已于2026年3月8日发布官方预警，指出其存在高风险。

本文将结合测评机构数据、安全服务方案、黑客攻击手法及监管要求，为你全景式剖析风险，并提供从紧急处置到长效治理的 “全生命周期”防御方案。

安全测评机构的全面扫描显示，OpenClaw的现状堪称”灾难级”。截至2026年3月，全球有超过258,305个OpenClaw实例暴露在公网，其中35.4%的暴露实例存在已知的远程代码执行漏洞，攻击者可以轻松接管这些系统。

图1：OpenClaw全球暴露安全困境

六大系统性安全缺陷根源

深入分析表明，OpenClaw的安全困境源于其架构与治理层面的多重固有缺陷：

1. 不安全的默认暴露：框架初始配置将服务端口绑定于全网络接口，导致海量实例在用户无意识状态下直接暴露于互联网，形成巨大的可攻击面。
2. 失效的本地信任假设：其安全模型错误地将”源自本机的请求”等同于”可信操作”，完全放弃了对本地回环地址连接的鉴权与风控，为”零交互”劫持铺平了道路。
3. 粗放的权限管理体系：框架及插件（Skill）在默认或常见配置下获得过度宽泛的系统权限，违背了网络安全的核心”最小权限原则”，导致单点被破即全局失控。
4. 失控的软件供应链：官方技能市场（ClawHub）在早期缺乏基本的安全审核机制，沦为攻击者大规模投毒的温床，将恶意代码直接分发给终端用户。
5. 安全与发展的严重失衡：项目在追求功能快速迭代与生态扩张的过程中，未能同步建立相应的安全架构、代码审计与漏洞管理流程，技术债务集中爆发。
6. 对AI原生攻击的天然脆弱性：框架核心依赖的大语言模型无法在逻辑上区隔”用户指令”与”待处理数据”，使得通过污染外部信息源（邮件、网页）发起的”间接提示注入”攻击几乎无法从根本上防御。

Meta安全高管的”血泪史”：AI安全总监本想用其整理邮箱，并严令”删除前需确认”。结果上下文被塞爆，指令被”遗忘”，AI化身数据屠夫狂删邮件，拦都拦不住。

150万令牌泄露事件：关联平台Moltbook数据库配置错误，导致150万条API令牌泄露，攻击者可伪装成任何知名AI进行诈骗。

企业内部采购欺诈：某公司采购Agent被提示词注入操控，在一周内”认为”自己有权自动批准，伪造了5万美元订单。

面对多层次风险，必须采取体系化防护。

图2：识别禁止行为

紧急处置清单（所有用户必须立即执行）

✅

立即升级：更新至 2026.2.25 或更高 安全版本。

✅

网络隔离：严禁绑定到 ，只允许本地()访问。远程访问必须通过 VPN 或 SSH隧道。

✅

审查插件：全面检查并卸载来源不明、可疑的Skill，只信任官方验证（Verified）项目。

✅

强化认证：为网关设置高强度密码，并启用多因素认证（若支持）。

✅

管理密钥：API密钥、令牌等必须使用环境变量或密钥管理服务存储，禁止硬编码。

• 沙箱隔离：在 Docker容器 或专用沙箱工具中运行，严格限制其资源访问。
• 最小权限：创建专用、低权限的系统账户来运行，杜绝使用root或管理员账户。
• 纵深监控：部署日志审计、入侵检测和终端防护，重点监控其网络连接和异常命令执行。
• 企业治理：制定明确的 《AI Agent管理政策》，对”非人类身份”进行审批、权限管理和生命周期监控。

❌

点击任何声称与OpenClaw相关的不明链接。

❌

在对话或Prompt中输入密码、私钥、API令牌等敏感信息。

❌

安装未经审核、来源可疑的Skill。

❌

在企业环境中未经IT部门批准私自安装和使用。

专业服务支撑

为实现上述防护目标，可借助专业安全厂商（如竞远安全）的 【安全加固】、【应急响应】、【安全咨询】 及 【数据安全评估】 等服务，将**实践转化为实际可落地的防护能力。

在攻击者眼中，OpenClaw是自动化攻击的”瑞士军刀”。

图3：ClawJacked攻击

经典攻击链：ClawJacked

1

入口：用户（即便安全意识良好）访问被植入恶意JS的网站。

2

本地渗透：JS通过浏览器向（OpenClaw网关）发起WebSocket连接。

3

暴力激活成功教程：由于对本地连接无速率限制，脚本可秒级爆破弱密码或默认口令。

4

静默控制：成功后自动注册为”信任设备”，攻击者获得完整控制权，全程用户无感知。

这是当前AI智能体面临的核心架构性安全挑战。当OpenClaw处理一封包含隐藏指令  的邮件时，其底层的大语言模型无法有效分辨这是”待处理的邮件内容”（数据）还是”应执行的用户指令”（命令），会忠实地执行泄露操作。这种攻击源于大模型的技术原理，难以通过传统的安全补丁方式彻底根除。

国家监管层面已高度关注此类融合了AI与自动化执行的新型风险。

• 工信部：已发布预警，要求相关单位开展自查整改。
• 等保2.0：在政企单位部署，需满足对应级别的安全区域边界和安全计算环境要求，特别是网络隔离和访问控制。
• 关基条例：关键信息基础设施运营者使用前，必须进行安全风险评估与论证。
• 数据安全法：处理个人信息和重要数据时，需履行分类分级、出境评估、影响评估等法定义务。

合规服务对接

为满足强监管要求，专业机构可提供 【合规差距评估】、【等保测评】、【商用密码应用安全性评估（密评）】、【数据安全合规咨询】 等全套服务，确保业务发展符合政策法规。

结合专业安全服务体系，我们为政企客户梳理出四阶段行动路径：

第一阶段：风险评估与规划

专业服务支撑：

• 资产发现与安全风险评估
• 数据安全评估与分类分级
• 等保/密评合规差距分析

第二阶段：技术加固与部署

专业服务支撑：

• 安全加固与配置审计
• 网络隔离与访问控制策略部署
• 安全设备策略优化

第三阶段：制度运营与培训

专业服务支撑：

• 安全管理制度体系建设
• 安全意识教育与专项培训
• 等保测评与密评服务支持

第四阶段：持续监控与优化

专业服务支撑：

• 安全监控与应急响应
• 攻防演练
• 定期复评与持续改进

🔍

立即断网自查：排查内网是否有未经授权的OpenClaw实例。

🔐

权限收紧：遵循最小权限原则，重新审计所有AI代理的授权。

📈

专项监控：在SIEM或SOC中建立针对AI代理异常行为的检测规则。

📋

制定规章：出台内部《AI智能体安全管理规定》，明确责任与流程。

编制单位

广州竞远安全技术股份有限公司

编制日期

2026年3月10日

总结：安全是AI”动手”能力的第一前提

OpenClaw的风波绝非孤例，它标志着AI风险从”胡说”进入了”胡作”的新阶段。其教训深刻表明：在赋予AI”行动力”的同时，必须构建与之匹配的”制动系统”。

给所有政企单位的最终建议是：

摒弃”默认即安全“的幻想，采取”主动、纵深“的防御策略。将AI智能体的安全纳入整体网络安全体系，通过技术管控、制度约束、人员培训和专业服务的多重结合，方能在享受自动化红利的同时，确保业务与数据的安全无虞。

本文基于公开威胁情报及监管信息综合撰写，旨在提供风险警示与防护参考。

文中部分图片为AI生成。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：竞远网络安全 《OpenClaw（龙虾）的安全深度报告-安全剖析与防护之道》