紧急警告:爆火AI助手OpenClaw被曝4个高危漏洞,3万公网实例暴露,已有在野利用-夜雨聆风

紧急警告:爆火AI助手OpenClaw被曝4个高危漏洞,3万公网实例暴露,已有在野利用

2026年，一款叫 Openclaw 的 AI 助手突然刷屏。

它的卖点很简单：在你所有的聊天 App 里，永远有一个 AI 助手跟着你。微信、Telegram、飞书、Discord——你在哪，它就在哪。不只是聊天，它还能帮你读邮件、订餐厅、清理服务器、推送代码。

听起来很美好。问题是，这个 “无处不在” 的 AI，也让不少安全研究员睡不着觉。

从 1 月底到 2 月初的短短两周内，Bitsight 的研究员就在互联网上发现了超过3 万个暴露在公网的 OpenClaw 实例。与此同时，CrowdStrike、Trend Micro、Cisco 先后发布安全报告，国内安全内参也梳理出了14 个核心漏洞，其中 4 个已分配 CVE 编号，2 个已发现在野利用。

那么问题来了：OpenClaw 到底存在什么安全风险？作为用户，你该怎么办？

它为什么比其他 AI 助手危险？

普通 AI 助手（比如 ChatGPT）的模式是：你提问，它回答，不会主动替你做事。

OpenClaw 不一样。它的核心设计是代理模式（Agentic）——你授权它之后，它可以：

以你的身份发消息、回邮件
执行 Shell 命令，读写本地文件
调用各种 API 接口
记住你的所有偏好和历史对话（持久记忆）
与其他 AI Agent 通信

这种「无处不在 + 高权限 + 代替你行动」的组合，让 OpenClaw 的攻击面远超普通 AI 工具。Trend Micro 在报告里直接说：“OpenClaw 的无限制可配置性，让它的风险比 ChatGPT Agent 还高。”

简单比喻：ChatGPT 是替你查地图，OpenClaw 是拿着你家钥匙帮你开门——效率确实高，但钥匙要是丢了，损失就大多了。

已披露的高危漏洞，你必须了解

安全内参整理的报告显示，OpenClaw 目前已披露的高危漏洞共 5 个，我来挑几个最典型的说说。

1. 远程代码执行漏洞（CVE-2026-25253，CVSS 8.8）

这是最严重的一个，已有在野利用。

OpenClaw 的控制界面在处理gatewayUrl参数时存在缺陷——它会把你的认证 Token 直接发送给这个参数指定的地址，而且没有做域名校验。

攻击者只需要构造一个带恶意参数的钓鱼链接，你一点开，你的认证 Token 就被发送到攻击者的服务器上了。拿到 Token，攻击者就能完全接管你的 OpenClaw 实例，以你的身份执行任意命令。

影响版本：低于 2026.1.29 的所有版本。升级到 2026.1.29 及以上可修复。

2. 命令注入漏洞（CVE-2026-25157，CVSS 8.1）

OpenClaw 的某个 API 端点没有对传入参数做严格过滤，攻击者可以直接注入系统命令，而且无需身份验证就能执行。

这意味着，如果你的 OpenClaw 暴露在公网，任何人都可以通过这个端点在你的服务器上执行任意命令。

3. Localhost 信任绕过（CVE-2026-25475，CVSS 6.5）

OpenClaw 早期版本把所有来自localhost的连接都视为可信来源，不做额外身份校验。

攻击者可以控制你电脑上的一个恶意网站，通过 JavaScript 在本地发起 WebSocket 连接，直接绕过认证，访问你的 OpenClaw。你只是打开了一个网页，AI 助手就被入侵了。

4. 跨域凭证泄露（GHSA-6mgf-v5j7-45cr）

OpenClaw 的 fetch-guard 组件在处理跨域重定向时，会把你的授权请求头直接转发给重定向目标地址，即使目标是攻击者控制的服务器。

攻击者只需要让你的 OpenClaw 访问一个恶意链接，就能拿走你的授权凭证。

第三方 Skill：最容易被忽视的风险

除了框架本身的漏洞，还有一个风险很多人没意识到：第三方 Skill（技能插件）。

OpenClaw 的 Skill 本质是可执行脚本，安装后会获得相应的系统权限。就像手机 App 申请权限一样，一个天气查询 Skill 如果申请了「读取 SSH 私钥」的权限，那这个 Skill 本身就是最大的威胁。

Cisco 的安全团队测试了一个第三方 OpenClaw Skill，发现它在用户不知情的情况下，悄悄做了数据外泄和提示词注入。更麻烦的是，OpenClaw 的 Skill 仓库缺乏有效的审核机制，恶意 Skill 混杂其中，普通用户根本难以分辨。

阿里云开发者社区的安全文章总结了 8 类高危 Skill 特征：

❌ 功能简单，但申请高危权限（如文件读写、网络访问）
❌ 来源不明，没有 GitHub 仓库或星标极少
❌ 代码混淆，逻辑不透明
❌ 要求填写 API Key 或账号密码
❌ 声称”免费”却索取超出功能范围的权限

核心原则：Skill 的风险不在于功能本身，而在于「权限与功能是否匹配」。

3 万个暴露实例说明了什么？

Bitsight 的报告里有一个让人触目惊心的数据：从 1 月 27 日到 2 月 8 日，短短 12 天内，他们在公网上发现了超过 3 万个 OpenClaw 实例。

这说明大量用户在部署时，直接把 18789 端口（Openclaw 默认端口）暴露在了公网，没有任何额外的安全防护。

对攻击者来说，这是巨大的攻击面。一旦他们发现一个未打补丁的实例，几乎可以直接获取该用户服务器的完整控制权。

你应该怎么做？

如果你已经在使用 Openclaw，以下几步是最基础的安全保障：

① 立即升级版本

目前修复了主要高危漏洞的版本是 2026.3.13 及以上。如果你还在用旧版本，先升级，其他的再说。

openclaw update

② 不要把端口暴露在公网

Openclaw 默认运行在 18789 端口。如果你需要远程访问，用 Tailscale、VPN 或 SSH 隧道，而不是直接开放端口到公网。

③ 安装 Skill 前做三件事

查来源

：只用官方仓库或 Star 数量多、维护活跃的开源 Skill
核权限

：权限需求要和功能对应，不匹配的直接拒绝
看评价

：看其他用户的使用反馈，有异常报告的不安装

④ 定期检查记忆内容

OpenClaw 的持久记忆功能会保存你的对话历史和个人偏好。定期检查并清理不必要的敏感信息，是个好习惯。

能力越大，责任越大

Openclaw 的作者自己说过两句话，值得反复看：

“大多数非技术用户不应该安装这个。”

“它还没完成，我知道它有锋利的棱角。”

这不是泼冷水，而是一种罕见的诚实。Openclaw 是一个能力极强的工具，但它的安全边界目前还在不断完善中。作为用户，你享受它带来的效率，也要承担对应的安全责任。

能力越大，责任越大——对 AI 助手来说，也是一样的道理。🦞

如果你是技术用户，建议认真读一下阿里云安全团队和 Trend Micro 的报告，里面有非常详细的加固建议。如果你是普通用户，先把版本升上去，Skill 少装、只装官方的，剩下的再慢慢研究。