OpenClaw安全漏洞与供应链风险分析：2026年关键CVE与加固指南

权限过高、默认配置不安全、供应链投毒……爆火的开源AI框架OpenClaw正经历一场“漏洞风暴”。

如果你是一名AI技术爱好者或开发者，最近一定听说过 「OpenClaw」（江湖昵称“龙虾”）的大名。这款在2026年初迅速走红的开源AI智能体框架，凭借其强大的“动手”能力——从管理邮件、执行系统命令到操作浏览器，曾创下 「一周内GitHub星标破18万」 的纪录。

然而，伴随其爆火而来的，是一系列触目惊心的安全事件。本文将根据公开资料，为你系统性地梳理OpenClaw近期暴露的 「主要安全漏洞、风险事件」 ，并提供 「紧急修复与加固建议」 。无论你是普通用户还是企业管理者，都值得花几分钟了解，毕竟，你赋予AI的权限，可能正在引狼入室。

一、OpenClaw是什么？为什么它风险极高？

OpenClaw（曾用名 Clawdbot、Moltbot）是一个 「可本地部署」 的AI智能体框架。它的核心不是陪你聊天，而是 「替你干活」 ：

• 「任务自动化」 ：帮你处理邮件、管理日历、办理航班值机。
• 「系统交互」 ：可以直接在你的电脑上执行终端命令、运行脚本、读写文件。
• 「多平台集成」 ：你可以通过微信、WhatsApp、Telegram等日常通讯工具指挥它。
• 「能力扩展」 ：通过官方市场 ClawHub 安装各种 “技能”（Skill），让它能做更多事，比如操作数据库、进行加密货币交易。

「正是这种“高权限”和“强执行”的特性，让它成为黑客眼中的“香饽饽”。」 一旦失守，攻击者相当于拥有了你系统的“遥控器”。这不仅是传统的系统安全问题，更是 人工智能 代理在实际应用中暴露出的新型安全边界挑战。

二、根本问题：功能狂奔，安全“裸奔”

OpenClaw暴露出的安全问题并非孤立的漏洞，而是一系列 「系统性缺陷」 的集中爆发：

1. 「默认配置“裸奔”」 ：早期版本默认将控制界面绑定到 0.0.0.0（所有网络接口），导致大量实例直接暴露在公网，任人扫描。
2. 「脆弱的“家贼难防”逻辑」 ：系统默认信任来自本机（localhost）的连接，认为“本地来的就是安全的”。这直接催生了后续的“零点击”劫持漏洞。
3. 「权限边界模糊」 ：核心组件和第三方技能往往被授予过高的系统权限，一旦某个环节被攻破，攻击者就能长驱直入。
4. 「“应用商店”无人审核」 ：官方技能市场 ClawHub 初期允许任何人上传“技能”，缺乏安全审核，直接导致了大规模的供应链投毒事件。
5. 「对AI新型攻击束手无策」 ：对 「提示词注入」 （尤其是通过邮件、网页内容进行的“间接注入”）缺乏有效防御，攻击者可借AI之手窃取数据。

三、近期主要安全漏洞与风险事件盘点

以下是我们为你梳理的关键漏洞和事件，其中不乏能让攻击者“一键接管”你电脑的高危风险。

🚨 核心框架高危漏洞

• 「CVE-2026-25253（一键RCE）」

  • 「核心风险」 ：攻击者可构造恶意链接，受害者点击后，攻击者即可窃取认证令牌，实现 「远程命令执行」 ，完全控制受害者设备。
  • 「修复版本」 ：2026.1.30

• 「ClawJacked（CVE-2026-25593，零点击劫持）」

  • 「核心风险」 ：用户只需 「访问一个恶意网站」 ，该网站即可通过浏览器的WebSocket连接，对本地OpenClaw网关进行 「无限制的密码暴力破解」 ，并在成功后静默注册恶意设备，实现“零点击”接管。
  • 「修复版本」 ：2026.2.25

• 「Gateway反向代理认证绕过」

  • 「核心风险」 ：在使用了Nginx等反向代理的错误配置下，攻击者可绕过认证， 「直接访问高权限的控制界面」 ，获取所有配置和对话历史。
  • 「修复状态」 ：需用户正确配置 trustedProxies。

🎣 新型AI攻击：提示词注入

• 「邮件/网页抓取间接提示词注入」

  • 「核心风险」 ：攻击者向用户发送一封包含隐藏指令的邮件，或在自己的网页中植入不可见的恶意文本。当OpenClaw自动阅读邮件或总结网页内容时，会“中毒”并执行攻击者指令，如 「读取本地私钥并发送给攻击者」 。
  • 「杀伤力」 ：这是AI时代独有的攻击方式，利用了AI对“数据”和“指令”的混淆。

• 「日志投毒」

  • 「核心风险」 ：攻击者通过向应用日志中写入恶意指令，当管理员或AI后续分析日志时，触发指令执行，实现 「持久化控制」 。
  • 「修复版本」 ：2026.2.14

📦 生态与供应链安全危机

• 「ClawHavoc（大规模供应链投毒）」

  • 「核心风险」 ：安全研究人员在官方插件市场 ClawHub 中发现了 「341个恶意“技能”」 。它们伪装成实用工具，实际会下载并执行窃密木马（如针对macOS的Atomic Stealer）， 「盗取用户邮箱、API密钥和登录令牌」 。这类 供应链投毒 事件对开源生态构成了严峻挑战。
  • 「警示」 ：下载任何“技能”前，务必确认其来源和安全性。

• 「Moltbook 社区数据库暴露」

  • 「核心风险」 ：OpenClaw生态中的一个知名安全社区Moltbook，因其使用的数据库未启用基本访问控制，导致 「约150万组API与认证令牌、3.5万用户邮箱」 等敏感信息暴露。攻击者可利用泄露的令牌 「直接接管AI智能体账号」 。

🌐 部署与配置风险

• 「公网大规模暴露」

  • 「数据」 ：根据知道创宇404实验室的测绘数据，截至2026年3月4日，全球有 「超过6.5万个OpenClaw实例可被识别」 ，其中 「85%以上（约5.3万个）采用默认端口映射部署」 ，直接暴露在公网。
  • 「后果」 ：任何人都可能扫描到这些实例并尝试攻击。

• 「企业“影子AI”风险」

  • 「核心风险」 ：员工为图方便，私自在内网或办公电脑安装OpenClaw，其高权限特性可能成为攻击者突破企业防线、横向移动的“跳板”。

四、紧急自救：给你的“龙虾”上把锁

面对如此多的风险，作为用户，你必须立刻行动起来。

✅ 紧急措施（所有用户必须执行）

1. 「立即升级」 ：将你的OpenClaw 「更新至 2026.2.25 或更高版本」 。这是修复已知高危漏洞（尤其是ClawJacked）的前提。
2. 「切断公网暴露」 ：
   • 检查配置， 「严禁将服务绑定到 0.0.0.0」 。应确保其只监听 127.0.0.1（本地地址）。
   • 如需远程访问，务必通过 「VPN 或 SSH 隧道」 ，切勿直接映射端口到公网。
3. 「审查并清理插件」 ：立即检查已安装的 “技能”（Skill）， 「卸载所有来源不明、不再使用或非官方验证的插件」 ，尤其是那些要求过高权限的。
4. 「强化访问认证」 ：为你的OpenClaw网关 「设置一个高强度的复杂密码」 ，并检查是否支持并启用了多因素认证（MFA）。
5. 「保护敏感信息」 ：API密钥、数据库密码等敏感信息应使用 「环境变量或专门的密钥管理服务」 存储，绝对不要硬编码在配置文件或对话中。

🛡️ 进阶防御（企业及高安全需求用户）

1. 「沙箱隔离运行」 ：在 「Docker容器」 中运行OpenClaw，并严格限制容器的资源访问权限（如仅挂载必要目录）。Linux用户可使用Firejail，macOS用户可使用 sandbox-exec。这符合 运维/SRE 领域的最佳安全实践。
2. 「遵循最小权限原则」 ：在操作系统层面， 「创建一个专用的、低权限的系统账户」 来运行OpenClaw进程，杜绝使用root或管理员账户。
3. 「部署监控与审计」 ：重点监控OpenClaw进程的 「网络连接行为」 和 「执行的异常命令」 。部署日志审计、入侵检测系统，及时发现异常。
4. 「制定企业AI治理政策」 ：明确将AI智能体这类“非人类身份”纳入企业资产管理，对其安装、授权、行为进行审批和全生命周期监控。

❌ 绝对禁止的红线行为

• 不要点击任何声称与OpenClaw相关的不明链接，特别是那些带有诱导性的。
• 不要在对话或任何Prompt中输入你的密码、私钥、API令牌等。
• 不要安装任何未经审核、来源可疑的“技能”。
• 在企业环境中，未经IT和安全部门批准，严禁私自安装和使用此类高权限AI工具。

五、总结

OpenClaw的出现，是AI从“对话”走向“行动”的一个重要标志。它让我们看到了AI助手的巨大潜力，但同时也用一连串的漏洞和安全事件给我们敲响了警钟： 「当AI拥有过高权限时，功能强大与安全可控必须并行。」

对于用户而言，必须摒弃“默认设置即安全”的幻想， 「主动采取纵深防御策略」 。希望本文的梳理能帮助你更全面地了解风险，并立即采取行动，保护好自己的数字世界。关于此类前沿技术的安全讨论与实践，也欢迎在 云栈社区 与更多开发者进行交流。

---

参考资料：知道创宇404实验室、潇湘信安