实用技术专辑(十一): OpenClaw的相关原理与安全隐患科普

三层架构说明

整体架构分为三层：聊天渠道层（WhatsApp / Telegram ）→ Gateway 网关层（消息路由、会话管理、身份验证）→ Agent 智能体层（理解意图、制定计划、执行任务、记忆管理）。Agent 层之下连接大模型、记忆库、技能库与外部工具（MCP）。

核心组件详解

1. Gateway（网关）— 系统中枢

Gateway 是一个 WebSocket 服务器，像总机接线员，把消息转发给 AI；它占用一个端口（默认 18789），是唯一运行的进程。

主要作用：

• 负责跟 WhatsApp、Telegram 等聊天软件握手，把收到的消息派发给 Agent 运行时处理

• 身份验证、连接管理、多用户隔离、请求路由

• 维护所有活跃会话和任务状态

类比：机场的中央塔台，所有航班（消息）都要经过这里才能分配到正确的跑道。

2. Agent（智能体）— 大脑和执行器

Agent 是真正承载 AI 能力的模块，是 OpenClaw 的大脑。会确定待调用的模型、匹配对应的 API 密钥，若主模型调用失败，会自动切换至备用模型。

Agent 的完整工作流：

• 观察（Observe）

• 思考（Think）— 理解用户意图，制定分步计划

• 执行（Act）— 调用工具、执行技能、运行命令

• 反思（Reflect）— 观察结果，自我矫正，调整策略

• 反复循环，直到任务完成

关键特性：

• 按智能体、工作区或发送者隔离会话

• 支持多大模型备份（可设置：用 Claude，不行就用 GPT，再不行用本地 Ollama）

• 自动反思和自我矫正

3. Skills（技能库）— 行动工具

Skills 就是助手的工具箱，里面装着各种功能：发邮件、回复消息、写代码、操作浏览器等。

常见 Skills：

• weather：查询天气

• calendar：管理日程

• email：处理邮件

• web-search：网页搜索

• exec：运行 Shell 命令

• browser：浏览器自动化

• file-ops：文件操作

类比：如果 Agent 是医生，Skills 就是医疗工具（听诊器、X光机等）。

4. Memory（记忆系统）— 持久化学习

OpenClaw 采用分层记忆体系，绝非简单的对话记录保存。

四层结构：

• AGENTS.md（宪法）

• SOUL.md + USER.md（三观与偏好）

• 日志和待办（当日任务）

• 向量数据库（长期记忆索引）

工作机制：OpenClaw 利用模型的 U 型注意力曲线特性，精心安排文件拼接顺序：头部（高权重）放 AGENTS.md；中部放 SOUL.md 和 USER.md；尾部放今天的日志和待办任务。

记忆搜索：OpenClaw 有个记忆索引器，在后台维护一个向量数据库。当 Agent 需要回忆某件事时，调用 memory_search 工具，系统会搜索语义相关的历史对话。

5. Channels（通道桥接）— 多平台连接

Channel Bridge 负责跟 WhatsApp、Telegram 等聊天软件握手，如使用 Baileys 库连接 WhatsApp。

1. 自我修正与进化

Agent 的记忆目录下可能有几百个日志文件，系统在后台维护一个向量数据库，让 Agent 能够不断学习过去的经验。

• 第 1 天：按照规则执行

• 第 7 天：观察到某些规则不适用，修改 SOUL.md

• 第 30 天：自主设定了新的日程提醒和学习任务

2. 权限管理与安全边界

AGENTS.md 是宪法，Agent 能读但不能写（用户明确指示下才能追加）；SOUL.md 是三观，Agent 可以根据互动去修改它。

设计理念：Agent 有自我调整的空间，但底线被锁死了。

3. 多智能体协作

Gateway 网关可以托管一个智能体（默认）或多个智能体并行，不同类型的会话有不同的权限和沙箱规则。

场景示例：

• home-agent：个人生活助手

• work-agent：工作场景助手

• code-agent：代码编写专家

不同渠道自动路由到对应 Agent。

场景 1：每日报告助理

配置定时任务（每天早上 8 点触发），Agent 自动调用 weather、calendar、news 等 Skills，生成个性化报告，通过 Telegram 发送给用户。

场景 2：工作流自动化

用户说：「整理一下我这个月的花销并做个预算规划」，Agent 自动完成以下流程：

1. 调用 calendar：查看花销日期分布
2. 调用 file-ops：读取消费记录文件
3. 调用 web-search：搜索同类消费的市场价格
4. 调用 exec：运行 Python 脚本做统计分析
5. 生成可视化报表并给出优化建议

场景 3：多人协作

多个 Agent（如 Zoe、ACP、Code-Expert）在无人监管时，能各自完成任务、自我修正和反思、定期汇报进度、协作不冲突。

支持的大模型

MCP 协议集成

如果说 MCP 协议是为了让智能体更高效地「调用工具」，那么 Agent Skills 则是直接为智能体「赋予能力」。

数据警示

根据工信部网络安全威胁和漏洞信息共享平台及多家安全机构监测数据（截至2026年3月）：

四大核心安全隐患

参考安天《利爪浩劫》报告及绿盟科技攻击面分析，OpenClaw的风险主要集中在以下四个维度：

1 架构原罪：信任边界模糊与默认配置陷阱

• 默认无鉴权：早期版本默认开启公网访问且无强身份验证，导致大量实例“裸奔”。

• 信任链断裂：OpenClaw作为“中间人”，连接了大模型和本地系统。一旦大模型被注入提示词，或本地接口被绕过，整个信任链即刻崩塌。

• 端口暴露：默认监听端口（如8080/9090）常被扫描器批量发现，成为攻击者的“活靶子”。

2 供应链投毒：恶意“技能包”（Skills）泛滥

OpenClaw的核心扩展机制是Skill市场，但这成为了最大的软肋：

• 审核缺失：第三方技能包缺乏严格的安全审核机制，攻击者可轻松上传包含后门的插件。

• 依赖混淆：恶意技能包可伪装成常用库（如openclaw-skill-calendar），诱导用户安装。

• 权限滥用：技能包一旦安装，往往默认拥有最高系统权限。安天监测发现，部分恶意技能包会在后台静默窃取SSH密钥、数据库凭证，甚至将设备变为挖矿机器。

3 大模型交互风险：提示词注入与记忆投毒

• 间接提示词注入（Indirect Prompt Injection）：攻击者可在网页、邮件中隐藏恶意指令。当OpenClaw自动读取这些内容时，会被诱导执行“删除所有文件”、“发送敏感数据给攻击者”等操作。

• 记忆投毒（Memory Poisoning）：由于OpenClaw具备持久记忆，攻击者可通过长期交互污染其记忆库，使其在未来特定触发条件下执行恶意行为，这种潜伏极具隐蔽性。

4 远程代码执行（RCE）：一键破防的致命漏洞

• CVE-2026-25253详解：该漏洞存在于OpenClaw的API接口处理逻辑中。攻击者构造特定的HTTP请求，即可绕过鉴权直接在宿主服务器上执行任意代码。

• 危害场景：

• 内网横向渗透：以被攻陷的终端为跳板，扫描并攻击内网其他服务器。

• 数据勒索：加密用户核心文档，勒索比特币。

• 隐私窃取：截取摄像头画面、键盘记录、窃取浏览器保存的密码。

攻击者是如何利用OpenClaw的？

基于自由布（FreeBuf）及武汉科技大学通报的真实攻击案例复现

场景一：校园网内的“幽灵”

背景：某高校研究生使用OpenClaw辅助管理实验数据。

攻击过程：

1. 扫描发现：攻击者扫描教育网段，发现该生部署的OpenClaw实例未修改默认密码。

2. 技能投毒：攻击者通过漏洞上传了一个名为“实验数据自动备份”的恶意Skill。

3. 行为劫持：该Skill在夜间自动运行，将实验室服务器的核心科研数据打包发送至境外IP，并清空了本地日志。

4. 后果：三个月的研究数据泄露，项目被迫中止。

场景二：企业内网的“特洛伊”

背景：某科技公司员工在办公电脑私有化部署OpenClaw处理邮件。

攻击过程：

1. 钓鱼邮件：员工收到一封包含特殊隐藏指令的邮件。

2. 自动执行：OpenClaw自动读取邮件时，触发提示词注入，被指令“将最近一周的财务邮件转发至 attacker@evil.com”。

3. 权限提升：攻击者利用随后触发的RCE漏洞，获取了该员工电脑的Administrator权限，进而域渗透控制了公司文件服务器。

如何安全地“养龙虾”？

在“养龙虾”这一议题下，安全治理的核心并不在于功能扩展，而在于通过版本控制、访问约束、权限收敛与持续监测，建立一套可审计、可隔离、可响应的防护机制。首先，应尽快将 OpenClaw 升级至最新安全版本，优先修复已公开的高危漏洞，例如 CVE-2026-25253 等问题。同时，应避免将相关接口直接暴露于公网环境，管理端口原则上仅允许可信来源访问，并结合白名单策略降低未授权访问风险。在身份认证层面，默认口令必须全部替换，高强度随机凭据与多因素认证也应作为基础控制措施统一启用。

从体系结构角度看，更有效的防护依赖于最小权限原则的落实。OpenClaw 进程不宜以 Root 或 Administrator 等高权限身份运行，而应在受限账户下部署，并结合 Docker、Podman 等容器化机制实施运行隔离，限制其对宿主机文件系统和关键资源的访问范围。对于技能包或扩展模块，应关闭自动下载与自动更新功能，仅允许从官方或经认证的可信渠道进行安装，并在部署前完成代码签名校验与静态安全扫描，以降低供应链风险。此外，还应在输入输出链路上配置必要的过滤与约束机制，对潜在提示注入、命令触发及外部操作请求进行识别与拦截；对于邮件发送、命令执行等高风险动作，宜引入二次确认或人工审批机制。

在运行维护阶段，持续监测与应急处置能力同样不可或缺。系统应开启详细操作日志，重点审计异常命令执行、非业务时段的大规模数据传输、未知对外连接等高风险行为特征，并结合 CNNVD、CNVD 及厂商通告持续更新威胁情报与漏洞认知。一旦发现疑似入侵或异常活动，例如未知外连、文件批量加密、异常调用链扩展等情况，应立即采取网络隔离和主机封控措施，以优先实现风险止损。总体而言，所谓“安全地养龙虾”，本质上是通过暴露面收缩、权限最小化、扩展受控化与监测常态化，构建面向实际攻击面的纵深防御体系。

AI智能体时代的安全新范式

OpenClaw 所暴露出的安全问题并非个案，而是 AI Agent 广泛落地过程中一类更具普遍性的结构性风险。其关键变化在于，系统角色正在从传统的信息辅助工具转向具备调用、执行与联动能力的代理型主体。在这种转变下，安全责任不再仅限于“用户输入—系统响应”的单向控制逻辑，而需要重新建立覆盖授权边界、执行约束、结果校验与人工介入机制的“人机协同治理”框架。换言之，当智能体开始实际介入任务执行，原有以交互安全为核心的防护模型已难以充分覆盖新的风险场景。

与此同时，AI Agent 的生态形态也显著放大了供应链安全问题。开源模型、插件机制与第三方技能包的结合，虽然提升了系统扩展性与部署效率，但也同步带来了依赖来源复杂、组件可信性不均、更新链条不透明等问题，使攻击面由单一系统漏洞扩展为多层级、多节点的复合型暴露面。在这一背景下，单纯依赖使用者自查或事后修补已明显不足，更有必要建立类似“应用商店审核”模式的治理机制，对扩展组件实施来源认证、代码审查、签名校验、持续复核与下架处置，从制度层面压缩恶意能力注入与供应链投毒的空间。

此外，AI Agent 所面临的攻击方式也呈现出更强的动态性。相较于传统系统中较为明确的静态输入与规则匹配风险，大模型环境下的提示注入、上下文操纵、工具链诱导和多轮交互利用，往往具有较强的语义伪装性与过程隐蔽性，难以依靠静态黑名单或固定策略实现有效识别。因此，防护思路需要由规则主导转向行为主导，在访问控制之外，引入基于行为分析的实时异常检测机制，例如 UEBA，对调用路径、操作频率、资源访问模式与外联行为进行连续监测，从而提升对非常规执行链和异常决策行为的发现能力。总体而言，OpenClaw 事件所揭示的，并不是某一产品的局部脆弱性，而是代理型智能系统时代在责任分配、生态治理与防御范式上的整体转型压力。