360漏洞研究院：
《360漏洞挖掘智能体实践-OpenClaw生态安全风险分析报告（2026年）》
（完整版.pdf ）
以下仅展示部分内容
下载方式见文末


远程代码执行、认证绕过、供应链投毒……当AI学会自己“动手干活”，谁来给它的脖子上套一根“安全绳”？

如果你关注科技圈，一定听说过 OpenClaw。
这个GitHub上狂揽 37万Stars 的开源项目，被誉为AI Agent（人工智能体）领域的“安卓”。它的能力简单说就是：让AI自己操控电脑——帮你整理文件、自动上网查资料、甚至帮你执行命令行脚本。
然而，能力越强，失控的风险也越大。
最近，360漏洞研究院发布了一份重磅报告：《360漏洞挖掘智能体实践-OpenClaw生态安全风险分析报告（2026年）》。报告首次动用自研的“漏洞挖掘智能体”，以 “AI对抗AI” 的硬核方式，对OpenClaw及其10款衍生产品进行了地毯式安全审计。
结果，挖出了一连串让人后背发凉的真相：535个历史安全公告、23个独立高危漏洞、远程代码执行、供应链投毒、沙箱逃逸……
这不是危言耸听，而是一场正在AI Agent生态中悄然蔓延的 “安全海啸”。

一、光鲜数据背后的“漏洞狂欢”：平均每天爆出4个安全问题
报告开篇就甩出了一个让开发者头皮发麻的数据：截至2026年5月11日，OpenClaw官方已累计披露 超过535个安全公告。
在开源世界里，这相当于一个“五星高危警告”。更可怕的是，这些漏洞的披露速度正在疯狂加速——早期以“周”为单位零星出现，而到了2026年第一季度，已经飙升至 平均每天4个以上。
为什么漏洞会像雨后春笋一样往外冒？
360研究院一针见血：“能力扩展优先于安全约束”。换句话说，开发团队忙着给AI加新功能、抢市场热度，安全却被放在了“以后再说”的篮子里。
而当这笔“安全债”终于要还的时候，底层重构的成本已经高到离谱。功能的每一分荣耀，背后都可能藏着一份未还的漏洞欠条。

二、AI Agent为何容易“失控”？四道防线全部失守
要搞懂OpenClaw为什么漏洞百出，得先明白它是怎么工作的。报告把它拆解成 三层核心组件：


• 本地工具层：让AI能读写文件、执行命令、操作浏览器 → 相当于给了AI一双手。


• 网络连接层：让AI能上网抓信息、调外部API → 相当于给了AI一双眼睛。


• 决策核心层：大模型把自然语言转成任务计划并调度工具 → 相当于给了AI一个大脑。


按照安全设计，这三层外面应该套上 四道防护边界：认证边界（谁在发指令）、网络边界（数据能去哪儿）、执行边界（高危操作隔离运行）、控制边界（核心指令不被篡改）。
理想很丰满，现实却很骨感——四道防线在OpenClaw里 层层失守。
🚪 认证边界：刷个“假身份证”就能进门
认证边界负责查验“你是谁”。OpenClaw设计了设备配对、多级权限等多种认证方式，看起来滴水不漏。
但漏洞数据显示，认证绕过类漏洞占比极高。360的漏洞挖掘智能体发现了一个典型问题：系统只检查脚本有没有“审批通过”的状态，却不验证脚本内容有没有被偷偷改过。
这意味着什么？攻击者可以先提交一个无害脚本，等管理员审批通过后，再把脚本内容换成恶意代码。结果，AI就会在你的电脑上执行非法操作——信息窃取、文件篡改、甚至整台电脑被接管。
🌐 网络边界：AI成了内奸，帮你“引狼入室”
OpenClaw既要主动外联（抓网页、调API），又要开放本地服务接收外部指令。这种“双向开门”的设计，让 SSRF（服务器端请求伪造） 漏洞反复出现。
攻击者可以利用SSRF，欺骗AI去访问本不该访问的内部地址，比如 http://127.0.0.1/admin。一旦认证边界有漏洞，AI内置的强大网络工具链就会摇身一变，成为攻击者探测内网、横向穿透的“带路党”。
🔒 执行边界：沙箱之间藏着“逃逸高速公路”
执行边界负责把高风险操作关进“沙箱”里。OpenClaw使用了三种沙箱模式：Docker容器隔离、宿主机特权执行、纯逻辑策略约束，而且根据会话动态切换。
听起来很灵活，实际上却因为 缺乏统一的强制衔接，留下了很多缝隙。攻击者可以在不同隔离层之间找到逃逸路径，把原本受限制的工具调用，升级为系统级的绝对控制权。
沙箱逃逸、本地提权……这些高危漏洞在安全公告里屡见不鲜。
🧠 控制边界：最致命的“指令劫持”
控制边界的目标是确保“用户的核心意图不被篡改”。但AI Agent有一个根本性的安全难题：在它的世界里，“数据即指令”。
用户的每一条聊天记录、网页上的残留文字、工具返回的结果、甚至一个文件的名字，都可能直接进入大模型，影响它的决策。
攻击者不需要破解什么密码，只需要污染输入上下文，就能“合法地”劫持Agent的逻辑。今年2月发生的 Claw Havoc大规模供应链投毒事件，就是攻击者通过恶意Skill组件渗透了整个生态。
当控制边界失守，前面三道防线再坚固也没用——因为AI自己已经变成了“内鬼”。

三、“Vibe Coding”的后遗症：AI写的代码，漏洞也是AI挖的
OpenClaw的开发者曾在采访中透露，项目的高速迭代高度依赖 “Vibe Coding” ——也就是让大模型来辅助甚至主导写代码。
这种模式确实爽：开发效率爆棚，功能一天一个样。但代价是什么？AI生成代码时，脑子里想的是“怎么让功能跑通”，而不是“怎么防住黑客攻击”。
功能优先，安全后置，结果就是今天的535个漏洞。
有意思的是，这次揪出这些漏洞的，恰恰也是AI——360自研的漏洞挖掘智能体。它能自动化完成攻击面分析、威胁建模、漏洞挖掘，甚至构建复杂的攻击链路。
AI写出的漏洞，最终还是得靠AI来发现。 这可能就是“以子之矛，攻子之盾”的现代版。

四、“继承即负债”：二次开发把安全债传给每个普通用户
OpenClaw采用的是 MIT开源协议，非常宽松，任何人都可以拿来做二次开发。这本来是好事，但报告发现了一个残酷的现实：代码被复制的同时，安全隐患也在被复制。
很多衍生产品采用“OpenClaw核心 + 外围新功能”的架构，带来了双重风险。
🔻 内忧：上游打个喷嚏，下游感冒一个月
有些产品为了省事，直接把OpenClaw的核心组件以二进制形式打包进安装包。只要OpenClaw被曝出新漏洞，下游产品就会跟着中招。
更麻烦的是，上游发布补丁后，下游还需要经历漫长的打包、测试、推送周期。在这个“补丁时间差”里，用户的设备完全暴露在风险中。
报告举了个例子：某企业级二次封装产品，内置的OpenClaw组件存在一个未修复的认证绕过漏洞（ZDI-CAN-29311）。攻击者只需伪造一个HTTP头，就能以未授权方式控制整个系统。而下游开发者根本没法独立修复——只能等上游出补丁，然后排队等更新。
🔺 外患：新功能成了新的“安全后门”
为了做出差异化，很多衍生产品会自己加新功能。但这些新功能往往没有经过严格的安全审计，反而成了新的攻击敞口。
案例1：浏览器操控功能变“遥控器”
某款产品新增了浏览器自动化功能，却在本地暴露了一个没有身份验证的WebSocket端口。攻击者只要诱导用户访问一个恶意网页，就能远程操控AI打开的浏览器，窃取Token，最终接管整个账户。
案例2：邮箱Skill导致目录穿越
另一款产品新增了邮箱Skill，但下载附件时没有对文件名做任何过滤。攻击者可以发送一个名字叫 ../../system/evil.exe 的恶意附件，AI下载后直接覆盖系统关键程序。
这些案例说明：二次开发不是原罪，但不做安全审计的二次开发，就是给黑客送人头。

五、重写代码也没用：同一个坑，不同的人反复跳
有人会说：那我不直接拿OpenClaw的代码，借鉴它的理念，自己完全重写总可以了吧？
报告的回答是：重写也无法从根本上规避风险。
360的漏洞挖掘智能体对多款独立自研产品进行了审计，发现了两个“魔咒”。
魔咒一：相同设计范式 → 相同漏洞
比如SSRF漏洞，OpenClaw曾经因为没过滤IPv6过渡地址而出事。某款完全重写的自研产品，代码从头写，检测逻辑也做了，却依然漏掉了像 http://[::ffff:127.0.0.1] 这样的边界情况。
同一个坑，换了个姿势又跳进去了。
再比如路径穿越漏洞，OpenClaw曾因未过滤文件名而出事。另一款自研产品在处理飞书消息附件时，同样没做字符规范化校验，攻击者照样可以通过恶意文件名实现任意文件写入。
代码可以重写，但架构缺陷带来的“漏洞基因”却会代代相传。
魔咒二：新增的安全机制反而成了新漏洞
有些自研产品知道自己继承了架构缺陷，于是主动加了一些安全加固。但好心办坏事——这些加固措施本身因为设计不严谨，反而成了新的攻击入口。
案例：防爆破机制被“伪造身份”轻松绕过
某款自研产品为了防止Token被爆破，加了一个频率限制策略。但它判断“客户端是不是同一个”的方法，只看HTTP头里的 X-Forwarded-For 字段，而不是真实的网络地址。
攻击者可以轻松伪造这个头部，模拟成千上万个不同的客户端去请求——频率限制瞬间失效，Token在可接受的时间内被暴力破解，攻击者直接接管WebUI。
案例：安全扫描器被“后门接口”完美绕过
另一款产品引入了安全扫描器，会在加载Skill组件前强制审计代码。但系统同时保留了一个数据恢复接口，可以上传压缩包解压。
攻击者只需构造一个包含恶意脚本的Zip包，通过恢复接口合法上传，覆盖已扫描过的Skill文件——安全扫描器连启动的机会都没有。

六、终极警示：别让“功能至上”吞噬安全底线
报告的最后，360研究院给出了一个非常严肃的结论：
OpenClaw生态的危机，不是零散的漏洞修复难题，而是“功能至上”导向下，系统性安全遗留问题的全面扩散。
当AI Agent开始广泛获取本地文件读写、网络服务调用、系统命令执行权限时，它的安全影响已经跨越了个人设备的物理边界，直接威胁到企业核心内网和关键业务流程。
而传统的“事后打补丁”式安全治理，在这个新物种面前已经彻底失效。
未来的出路在哪里？报告给出了两个方向：


1. 从“局部修补”转向“系统防御”。安全机制不能继续作为功能扩张后的附属品，而必须成为产品研发的 “地基”。


2. 在四大核心边界上贯彻“默认安全、最小权限、纵深防御”。认证、网络、执行、控制，缺一不可，层层设防。


这份报告的意义，远不止于给OpenClaw生态做了一次全面“体检”。它是对整个AI Agent时代的 安全启蒙。
当AI学会自己动手干活，人类要做的第一件事不是欢呼，而是先给它戴上足够紧的“紧箍咒”。

报告来源：360漏洞研究院《360漏洞挖掘智能体实践-OpenClaw生态安全风险分析报告（2026年）》核心数据：535个历史安全公告、23个独立漏洞、10款衍生产品研究方法：自研漏洞挖掘智能体，以“AI对抗AI”模式进行全自动化审计

人工智能越强大，安全的底线就越不能后退。转发给每一个在用AI Agent的朋友，安全意识要从今天开始。


本文基于公开报告进行专业解读，不构成任何投资或使用建议。漏洞详情已向国家信息安全漏洞库（CNNVD/CNVD）报送，相关修复请关注官方公告。






☟☟☟



☞人工智能产业链联盟筹备组征集公告☜



☝






篇幅有限，部分展示
加入会员，任意下载









资料下载方式


Download method of report materials





关注公众号后回复：FX260531
即可领取完整版资料














荐：
【中国风动漫】《姜子牙》刷屏背后，藏着中国动画100年内幕！
【中国风动漫】除了《哪吒》，这些良心国产动画也应该被更多人知道！



【中国风动漫】《雾山五行》大火，却很少人知道它的前身《岁城璃心》一个拿着十米大刀的男主夭折！

如需获取更多报告



扫码加入
“人工智能产业链联盟”
知识星球，任意下载相关报告！











报告部分截图


















声明





来源：360漏洞研究院，人工智能产业链union（ID:aiyuexingqiu）推荐阅读，不代表人工智能产业链union立场，转载请注明，如涉及作品版权问题，请联系我们删除或做相关处理！
编辑：Zero












文末福利





1.赠送800G人工智能资源。
获取方式：关注本公众号，回复“人工智能”。
2.「超级公开课NVIDIA专场」免费下载
获取方式：关注本公众号，回复“公开课”。
3.免费微信交流群：
人工智能行业研究报告分享群、
人工智能知识分享群、
智能机器人交流论坛、
人工智能厂家交流群、
AI产业链服务交流群、
STEAM创客教育交流群、
人工智能技术论坛、
人工智能未来发展论坛、
AI企业家交流俱乐部
雄安企业家交流俱乐部
细分领域交流群：
【智能家居系统论坛】【智慧城市系统论坛】【智能医疗养老论坛】【自动驾驶产业论坛】【智慧金融交流论坛】【智慧农业交流论坛】【无人飞行器产业论坛】【人工智能大数据论坛】【人工智能※区块链论坛】【人工智能＆物联网论坛】【青少年教育机器人论坛】【人工智能智能制造论坛】【AI/AR/VR/MR畅享畅聊】【机械自动化交流论坛】【工业互联网交流论坛】
入群方式：关注本公众号，回复“入群”













戳“阅读原文”下载报告。