2026年OpenClaw生态安全风险分析报告

OpenClaw这半年火得一塌糊涂，GitHub上37万颗星。但有个数据没人提——它已经披露了535个安全公告，而且2026年一季度后，披露频率飙到每天4个以上。这不是偶然。AI Agent要干活，就得给它权限：读文件、跑命令、抓网页、调API。权限给够了，攻击面也炸了。

360的漏洞挖掘智能体拿它做了次“以AI攻AI”的测试，挖出23个漏洞，覆盖远程代码执行、认证绕过、权限提升。最致命的是架构层面的问题——OpenClaw有四个边界（认证、网络、执行、控制），但每个边界都能被击穿。比如认证边界，它设计了设备配对、多级权限，但WebSocket、API、本地CLI多个入口校验不一致，攻击者绕过去就能接管系统。再比如控制边界，大模型把“数据即指令”，网页里藏一句提示词，Agent就可能乖乖执行恶意操作。

更麻烦的是，这些漏洞正在向下游蔓延。很多二次开发产品直接打包OpenClaw核心，上游出补丁了，下游得等几周甚至几个月才能同步。还有自研产品，虽然代码重写了，但底层架构一模一样——SSRF、路径穿越这些经典漏洞照样重现。有个开源自研产品甚至复现了OpenClaw两年前的IPv6地址绕过漏洞。

这不是修几个bug能解决的事。AI Agent的底层逻辑就是“高权限+广接口”，安全必须前置到架构设计里。如果你在基于OpenClaw做二次开发或自研，建议先干三件事：1）关掉所有不必要的本地端口和服务；2）严格限制Agent能访问的网络范围；3）对Skill和插件做强制静态审计。别等功能跑起来再补，那时候漏洞早被爬虫扫到了。

来源：360漏洞研究院

完整版报告已上传至星球，扫下方优惠券加入即可下载所有报告

戳“阅读原文”下载报告