OpenClaw再曝8.8分漏洞：点一个链接，整个系统就被接管 

     2026年初，开源AI智能体OpenClaw（昵称”龙虾”）席卷全球开发者社区，成为GitHub平台上增长最快的项目之一。它能自主访问本地文件、操作浏览器、执行系统命令，被誉为”效率神器”。 

     然而，工信部两个月内两次发国家级警告，国企、银行、政府机关全面限用——这款神器背后，藏着一个足以让整个系统裸奔的漏洞矩阵。 

     一、8.8分漏洞：点一个链接，系统就归你 

     安全领域常用CVSS评分衡量漏洞严重程度，满分10分，8.0以上即为高危漏洞。 

     OpenClaw目前公开的多个漏洞，评分均超过这条红线： 

     CVE-2026-25253（CVSS 8.8）——这是目前最危险的一个。 

     漏洞存在于OpenClaw Control UI的参数处理逻辑。攻击者只需构造一个包含恶意gatewayUrl参数的钓鱼链接，诱导用户点击。用户打开链接的瞬间，认证令牌就被传输到攻击者控制的服务器。 

     这意味着，用户仅仅是在浏览器里点开了一个链接，攻击者就能直接接管他的整个系统。 

     值得注意的是，这个漏洞已被发现存在在野利用——也就是说，已有黑客在实际攻击中使用了这一手法。 

     CVE-2026-25157（CVSS 8.1）——API命令注入。 

     OpenClaw的特定API端点存在命令注入漏洞，攻击者发送包含恶意命令的请求，参数未经严格过滤就被解析执行。 

     最可怕的是：这个漏洞无需任何身份校验，普通网络请求即可触发。攻击者可以在目标服务器上执行任意系统命令，读写删除文件，甚至植入恶意程序。 

     二、默认配置就是”敞开门” 

     安全行业有一句话：”最大的漏洞不是代码，而是配置。” 

     OpenClaw的开箱即用体验做得好，但默认配置埋下的安全隐患，足以让一个没有任何安全意识的小白”裸奔”： 

默认无身份认证。 出厂配置下，OpenClaw不启用任何身份验证。如果你的实例暴露在网络上，任何人都能远程连接，执行命令、读取文件、窃取凭据，全程无需任何密码或token。 

API密钥明文存储。 OpenClaw默认将AI服务的API密钥以明文形式保存在本地配置文件。一旦实例被入侵，攻击者直接拿到这些密钥，可以调用你的AI服务，造成直接经济损失。 

信任边界模糊。 OpenClaw错误地将所有来自localhost的连接视为可信来源。攻击者可以通过浏览器中的恶意JavaScript，发起本地WebSocket连接，绕过认证机制。 

     三、36%的技能包是”毒饵” 

     OpenClaw的第三方技能市场ClawHub，是另一个重灾区。 

     安全审计显示：约36.82%的ClawHub技能存在可被利用的安全缺陷。雪上加霜的是，341个恶意技能包被发现内含键盘记录器、凭据窃取器等恶意代码。 

     更值得警惕的是，OpenClaw默认配置下AI甚至可以自动安装技能，无需用户确认——相当于攻击者送上门的后门，直接被用户亲手安装运行。 

     四、工信部”六要六不要”：官方修复指南 

     面对持续发酵的安全风险，工信部网络安全威胁和漏洞信息共享平台（NVDB）在今年3月发布专项建议，核心是六条准则： 

“六要”

1. 使用官方最新版本，从官方渠道下载，开启自动更新提醒

2. 严格控制互联网暴露面，定期自查，发现暴露立即整改

3. 坚持最小权限原则，重要操作进行二次确认或人工审批

4. 谨慎使用技能市场，安装前审查代码，拒绝要求”下载ZIP”或”输入密码”的技能包

5. 防范社会工程学攻击和浏览器劫持，遇到可疑行为立即断开网关并重置密码

6. 建立长效防护机制，定期检查漏洞，及时关注官方安全公告

“六不要”

1. 不要使用第三方镜像或历史版本

2. 不要将实例暴露到互联网，确需远程访问使用SSH加密通道

3. 不要使用管理员权限账号部署

4. 不要安装来源不明的技能包

5. 不要点击陌生链接

6. 不要禁用详细日志审计功能

     五、四大应用场景的不同死法 

     OpenClaw的典型使用场景分为四类，每类面临不同的安全风险： 

智能办公场景——供应链攻击、内网横向渗透

企业部署OpenClaw对接管理系统后，引入恶意插件可能导致数据库泄露，内网敏感信息外泄。

开发运维场景——设备劫持、API凭证泄露

辅助代码运行时被注入恶意指令，服务器遭控制，开发环境成为黑客入口。

个人助手场景——个人信息窃取、提示词注入

远程接入被劫持，个人文件遭恶意读写，明文存储的API密钥直接被盗。

金融交易场景——错误交易、账户被接管

量化交易系统被注入错误策略，记忆投毒导致错误交易，甚至因缺乏熔断机制导致智能体失控频繁下单。

     六、紧急修复步骤 

     如果你正在使用OpenClaw，按以下优先级处理： 

     第一步：立即升级（最低版本2026.1.29） 

# 查看当前版本

openclaw –version

# 紧急升级

openclaw update

     第二步：启用身份认证 

在openclaw.json中强制添加认证令牌，设置gateway.auth.token为强随机字符串。

     第三步：收紧端口暴露 

检查18789端口是否暴露：

ss -tlnp | grep 18789

如显示0.0.0.0:18789，立即绑定本地或在配置中设置bind: loopback。

     第四步：建立高危命令审批机制 

对删除文件、发送数据、修改系统配置等操作启用二次确认，避免AI被诱导执行危险命令。

     结语 

     效率与安全，从来不是非此即彼的选择。 

     OpenClaw是强大的工具，但它承载的是你对系统的完整控制权。当一个漏洞只需要点一个链接就能攻破整个系统时，安全不是可选项，而是必选项。 

     工信部”六要六不要”的建议，值得每一位OpenClaw用户认真执行。在享受AI效率红利之前，先问自己一个问题：我的系统，真的守得住吗？

【素材来源】

• 腾讯云开发者社区《OpenClaw安全风险与规避方法》

• 央视网《工信部发布关于防范OpenClaw（”龙虾”）开源智能体安全风险建议》

• 知乎《”龙虾”（OpenClaw）安全风险分析》