OpenClaw(前身为Clawdbot、Moltbot)是 2025 年 11 月上线的开源 AI Agent 框架,该项目被开发者定义为“真正可以执行任务的AI”,以惊人速度成为 GitHub 历史上增长最快的现象级项目之一,上线以来累计超过 颗星。然而,其爆炸式增长暴露出严重的安全问题,漏洞数量之多、影响之广,在 AI 工具领域尚属罕见。
这一框架的核心能力涵盖了广泛的自动化场景:
1、信息处理能力:浏览网页、总结PDF 文档、分析截图内容
2、日程管理能力:安排日历事项、发送提醒通知
3、商务自动化能力:代客进行在线购物、处理电子邮件
4、系统集成能力:读写本地文件、控制桌面应用
5、通信集成能力:集成 WhatsApp、Telegram、Slack、Discord、Signal、iMessage 等主流消息平台
6、持久化记忆功能:记住数周甚至数月前的交互记录,作为始终可用的个人AI 助手持续运行
为实现上述功能,OpenClaw 需要获取用户的根文件权限、认证凭证(包括密码和API 密钥)、浏览器历史和Cookie,以及系统内所有文件和文件夹的访问权限。用户可以通过消息触发其操作,系统会在笔记本上持续运行直至完成任务。
这种深度的系统集成模式虽然在功能层面提供了强大的自动化能力,但在安全层面却创造了显著的攻击面。
1、漏洞层面:已披露的漏洞数量至少达 110 个(截止2026年2月28日),其中3个漏洞已有公开的PoC(概念验证)代码,意味着攻击者可直接利用这些代码发起针对性攻击;
2、暴露面层面:截至 2026 年2月 SecurityScorecard 统计数据,公网中可被探测到的 OpenClaw 暴露实例超13.5 万个,其中至少12812个实例存在远程代码执行(RCE)风险,可被攻击者直接接管控制;
3、生态层面:其插件平台 ClawHub 中存在超过 820 个恶意插件,占插件总数的约20%,成为植入恶意代码的重要渠道;
4、企业内部部署层面:22%的受监控企业中发现员工私自安装 OpenClaw 的“影子部署” 行为,这类未授权部署绕过企业安全管控,形成隐蔽的安全风险点;
5、恶意软件感染层面:已有明确证据显示 OpenClaw 实例被 Vidar 木马变种感染,并已出现基于该平台的信息窃取行为。
项目起源
OpenClaw 由奥地利开发者 Peter Steinberger 创建,最初是一个个人周末项目,目标是构建一个通过 WhatsApp 消息控制的本地AI 助手。
项目的核心设计理念是:"让AI 通过你已经在用的聊天 App 跟随你"。其与传统 AI 工具的根本区别在于:它不在浏览器沙盒中运行,而是直接在宿主机操作系统层运行,拥有执行 Shell 命令、读写文件、控制浏览器的权限。
OpenClaw 发展历程时间线
OpenClaw 的架构由以下组件构成:
![图片[1]-OpenClaw 安全性风险全链路分析及提示-十一张](https://www.11zhang.com/wp-content/uploads/2026/03/32d3ca5e2320260311095509.webp)
截止2026年3月初,已公开的 OpenClaw 相关的安全事件时间线。
CVE 漏洞披露与利用代码
随着 OpenClaw 的广泛部署,一系列安全漏洞被陆续发现并分配了 CVE 编号。
已披露漏洞统计:
CVE-2026-25253(核心高危漏洞)
漏洞机制:Control UI 模块从URL的 query string 中读取 gatewayUrl 参数时,未做任何来源验证,会自动建立 WebSocket 连接,并将认证 Token 包含在握手载荷中发送。由于浏览器不对 WebSocket 连接执行同源策略(Same-Origin Policy,SOP),攻击者可在恶意网页中注入 JavaScript 代码,将受害者的认证 Token 发送至攻击者控制的服务器。
命令注入类漏洞(3 个高危漏洞)
漏洞机制:三个独立的命令注入漏洞分布在不同代码路径,均因用户可控输入未经充分过滤即传递给系统命令执行器导致。攻击者可构造特殊字符串,以 OpenClaw 进程权限在宿主机上执行任意命令。
其他高危漏洞
漏洞机制:OpenClaw Gateway 的图片处理工具未校验 请求目标URL,攻击者可构造特殊图片URL,使服务器向内网地址或云元数据端点(如 AWS EC2 的169.254.169.254)发起请求,进而探测内网拓扑或窃取云服务凭据。
漏洞机制:浏览器上传功能未对文件路径进行有效验证,攻击者可构造包含 ../ 的恶意路径,将文件写入宿主机文件系统的任意位置,通过写入 Cron 任务、Shell 配置文件等方式实现持久化控制。
公网暴露实例的大规模扫描
与软件漏洞并行的另一个严重安全问题是大量 OpenClaw 实例的公网暴露,发现超过个 OpenClaw 实例因默认配置(绑定到0.0.0.0:18789)而暴露在公共互联网中,覆盖82个国家,超过15000个实例存在可被利用的远程代码执行漏洞。
暴露原因分析:
场景一:反向代理未配置trustedProxies
部署在 Nginx/Caddy 后方的 OpenClaw,若 trustedProxies 未正确配置,所有来自反向代理的请求都以127.0.0.1 到达网关,被视为可信本地连接。效果等同于对全互联网开放无认证访问。
影响:攻击者通过反向代理直接访问控制界面、配置存储、凭据和会话历史,无需任何密码。
场景二:明文凭据存储
OpenClaw 将API 密钥、密码、LLM Provider Token 以明文形式存储于 ~/.openclaw/ 目录下的 Markdown 和 JSON 文件中。RedLine、Lumma 等主流信息窃取木马已将 OpenClaw 的文件路径加入其默认采集列表。
影响:任何能访问文件系统的恶意软件(包括 ClawHub 上的恶意技能)均可直接读取全部凭据。
场景三:公开群组策略
在 Discord、Telegram 等公开群组中部署 OpenClaw,任何群成员均可发送 Prompt 指令,触发工具调用、文件读取和配置变更,无需管理员审批。
影响:群组成员可将 OpenClaw 用作跳板,进入具有更高权限的服务器。
事件一:Shodan 扫描暴露实例(2026年1月末)
安全研究员 Jamieson O'Reilly 通过 Shodan 发现数百个无认证 OpenClaw 实例,经手动验证后,成功访问了多个实例的 Anthropic API 密钥、Telegram Bot Token、Slack OAuth 凭据和数月完整聊天记录,并可以用户身份发送消息、以完整系统管理员权限执行命令。
事件二:Moltbook 数据库泄露(2026年2月)
Moltbook( OpenClaw 的配套AI 社交网络)的 Supabase 数据库因 Row Level Security 未启用,暴露约150万个API 认证Token、35000个电子邮件地址和4000条私信。Wiz 研究团队发现并披露。
事件三:Vidar 信息窃取木马感染(2026年2月25日)
Hudson Rock 披露,一名用户的 OpenClaw 配置目录被Vidar 变种信息窃取木马通过"广泛文件抓取"例程成功窃取,包含完整的 Agent 操作上下文和所有已集成服务的凭据。
ClawHub 作为 OpenClaw 的官方公共技能注册中心,其规模在短短数周内经历了爆发式增长:
●截至2026年3月9日:ClawHub 共收录18140个社区构建的技能。
●增长趋势:三周前技能注册表仅有约2800个技能,截至2026年2月26日已飙升至超过10700个,三周内增长约280%。
●质量筛选:GitHub 上 VoltAgent 的 awesome-openclaw-skills 项目从 13729 个原始技能中筛选出 5494 个技能纳入推荐列表,排除 6940 个未通过筛选的技能,排除比例约为50.5%。
这种超高速增长的速度远超传统软件包仓库的历史增长曲线,也使得安全审计和恶意内容筛查几乎成为不可能完成的任务。
ClawHub 存在根本性的结构性供应链安全风险:该平台的技能发布门槛极低,仅要求发布者拥有创建超过一周的 GitHub 账户即可完成上传,既无严格的身份核验机制,也未对技能代码开展前置审计,而用户对“官方市场” 的天然信任,进一步放大了恶意技能流入生态并被广泛使用的风险。
面对庞大的技能库,社区维护者开始实施系统性的质量筛选工作:
1、awesome-openclaw-skills 项目:采用多维度评估标准,被排除的技能涵盖:
2、PANews 筛选实践:从5705个技能中筛选出3002个可用技能,排除率达到近48%,其中396个存在安全风险的技能被永久排除,占被淘汰技能总量的14%。
3、Tork Network 审计:使用开源 CLI 工具 tork-scan 对500个 ClawHub 技能进行系统性安全审计,发现30%的技能存在显著安全或治理问题,其中10%被归类为主动危险技能。
这种大规模的内容筛选实践揭示了一个令人警醒的现实:在一个开放且无门槛的技能发布平台上,低质量和恶意内容的占比之高,让人不得不足以对半数以上的内容产生质疑。
ClawHub 上恶意 Skills 攻击载荷呈现出多样化的演进趋势:
2026年2月爆发的 ClawHavoc 攻击活动是迄今为止针对 ClawHub 平台最大规模的供应链攻击。Koi Security 团队在对2857个技能进行安全审计时发现341个恶意技能,其中335个属于 ClawHavoc 的攻击活动。
攻击者采用了高度伪装的社会工程学策略下发多平台载荷,发布看似合法的技能如 solana-wallet-tracker、youtube-summarize-pro 等,通过详细的README 文档建立可信度,在"Prerequisites(前置条件)“部分要求用户先安装所谓的"必备依赖”。
ClawHavoc 攻击活动的另一个显著特点是其伪装策略的多样性和针对性:
攻击的技术执行路径体现了对目标用户群体的精准理解:
为应对供应链风险,OpenClaw 已与 VirusTotal 合作,对新上传技能开展恶意代码扫描与 LLM 内容语义分析,并对技能包进行基础结构审查。
但其核心局限性体现在三方面:
当 OpenClaw 实例直接暴露于公网且无认证或弱认证时,外网攻击者可访问:
在企业内网中,即使 OpenClaw 未暴露公网,内网攻击者(已获得内网访问的入侵者、恶意内部人员)也可以:
即使 OpenClaw 仅监听 localhost、从未暴露公网,CVE-2026-25253(未修复版本)和"ClawJacked"漏洞使攻击者可通过以下路径发动攻击:
此场景的危险性: 本地localhost 的"隔离"是虚假的安全感,攻击者无需任何网络特权,仅需引诱用户访问一个网页。
![图片[2]-OpenClaw 安全性风险全链路分析及提示-十一张](https://www.11zhang.com/wp-content/uploads/2026/03/0a7b8575f820260311144904.webp)
攻击场景一:针对公网暴露实例的直接攻击
前提条件: 目标运行无认证或弱认证的 OpenClaw,监听于公网IP
![图片[3]-OpenClaw 安全性风险全链路分析及提示-十一张](https://www.11zhang.com/wp-content/uploads/2026/03/8254a4657f20260311145028.webp)
攻击场景二:针对 localhost 实例的浏览器劫持(CVE-2026-25253)
前提条件: 目标运行未打补丁(< v2026.1.29)的 OpenClaw,即使仅监听 localhost
![图片[4]-OpenClaw 安全性风险全链路分析及提示-十一张](https://www.11zhang.com/wp-content/uploads/2026/03/573b7f89be20260311145251.webp)
OpenClaw 可访问用户文件系统、执行Shell 命令、调用各类第三方服务凭据,一旦被攻击者控制,将导致用户数字权限完全泄露。在企业环境中,单个被入侵实例可成为内网横向移动跳板,引发核心数据窃取、关键系统受控等严重安全事件,对于个人用户来说,隐私信息存在被窃取风险。
(一)漏洞闭环与凭据管理
(二)网络层面防护
(三)认证与权限管控
(一)供应链与插件管理
(二)监控与审计机制
(三)企业政策与流程管控
(一)安全意识提升
(二)安全使用实践
(三)应急响应准备
OpenClaw 安全危机不仅是一个具体项目的安全问题,更是整个 AI Agent 技术发展过程中的一个重要警示。它提醒我们,在追求技术创新的同时,必须同步考虑安全治理;在享受自动化便利的同时,必须清醒认识潜在风险。AI 智能体具有巨大的潜力和价值,但其安全挑战也同样巨大。只有通过技术社区、企业用户、安全研究人员和政策制定者的共同努力,才能建立一个既能够促进创新又能够保障安全的AI生态系统。
GPT plus 代充 只需 145
THE END
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/237607.html