【学习】爆火AI工具背后的安全危机

2026 年初，开源AI 智能体框架OpenClaw（俗称“龙虾”）凭借自然语言驱动的自动化能力迅速走红，其支持文件管理、API调用、Shell命令执行等功能的特性，使其成为开发者青睐的效率工具。然而，随着全球公网暴露实例突破41万个，一系列高危漏洞集中爆发，国家互联网应急中心（CNCERT）、工信部先后发布安全预警，提示其“默认配置脆弱、权限失控”可能引发系统被接管、数据泄露等严重后果。

一、四大核心安全隐患需重点防范

1.远程代码执行（RCE）与零认证漏洞：这是OpenClaw 最致命的风险，沙箱机制缺陷导致攻击者可通过恶意指令绕过隔离，执行任意代码（CVE-2026-25253等）。更危险的是，其默认监听的18789端口无需认证即可访问，全球超13万个公网暴露实例面临“一键接管”风险，攻击者可窃取API密钥、部署勒索软件。

2.提示词注入与AI误操作：作为依赖大语言模型的工具，OpenClaw易受提示词注入攻击，攻击者可在网页、邮件中嵌入隐藏指令，诱导其泄露敏感数据或删除核心文件。已有真实案例显示，AI误操作导致批量邮件被删除，凸显自主执行功能的失控风险。

3.插件供应链与配置风险：ClawHub插件市场中20%的第三方插件含恶意代码，部分插件过度申请权限；同时，OpenClaw默认以管理员权限运行，凭证明文存储，进一步放大了攻击危害。

4.SSRF与内网探测漏洞：URL参数校验缺失导致攻击者可通过恶意链接诱导OpenClaw访问内网资源，实现端口扫描、窃取云服务凭证等攻击，威胁内网安全。

二、权威机构推荐的防护措施

针对上述风险，结合工信部“六要六不要”原则（https://www.nvdb.org.cn/publicAnnouncement/2031684972835299329）和安全专家建议，用户需立即落实以下防护：

1.紧急加固网络边界：通过防火墙禁用18789、19890 默认端口的公网访问，将监听地址绑定为127.0.0.1，远程访问仅通过VPN或SSH隧道实现。

2.强制更新与权限收缩：升级至v2026.2.26及以上安全版本，禁用管理员权限运行，创建低权限专用账户，对文件删除、系统配置修改等操作启用二次确认。

3.严控插件与指令来源：仅安装官方签名插件，禁用自动更新；避免让OpenClaw读取陌生文档、访问可疑网页，防范提示词注入攻击。

4.开启审计与应急准备：启用全量日志记录（保存≥30 天），监控异常登录和高危命令执行；一旦发现漏洞利用，立即停止服务、隔离主机并重置所有凭证。

OpenClaw 的安全危机折射出 AI 智能体 “能力与风险并存”的行业现状。用户在享受自动化便利的同时，必须以 “最小权限、多层防御”为原则，将安全配置贯穿部署、使用全流程，才能有效抵御潜在攻击。