每8个技能就有1个是坏的:华为OpenClaw重新定义AI

当全球已有超过27万个OpenClaw实例暴露在公网，其中约40%与已知APT组织存在关联，AI Agent的安全问题已经从”技术隐患”升级为”国家级威胁”。

这是华为在2026年发布的《OpenClaw安全解决方案技术白皮书》【文末附资源免费下载地址】中扔出的第一颗炸弹。

这份43页的技术白皮书，用一句话重新定义了AI Agent时代的安全范式——安全从防御”一段代码”，转变为对抗”一种智力”。

【文末附资源免费下载地址】

 01 27万公网暴露：AI Agent正在变成黑客的”肉鸡”

表面上，OpenClaw只是一个开源的AI虚拟助理，能安排日程、发送消息、整理文件、编写代码。

实际上，据OpenClaw Exposure Watchboard最新测绘数据，全球已有超过27万个OpenClaw实例暴露在公网，其中约40%与已知APT组织存在关联。

华为在白皮书中扔出一个反常识判断：私装智能体未经过专业安全加固，缺乏常态化漏洞修复机制及网络访问隔离措施，成为外部攻击者突破政企内网的首要目标。

典型案例显示，某政企机构因员工私装智能体，导致内网核心数据库被入侵，超10万条敏感数据被窃。

 02 供应链投毒：每8个技能中就有1个是坏的

报告里最狠的判断：ClawHub缺乏严格的代码审核，研究人员对2857个技能进行全面审核，发现341个恶意技能——每8个技能中就有1个是坏的。

这个数字在后续调查中继续增长，最终达到了824个。

恶意技能是指攻击者通过自定义技能、社区插件或诱导大模型生成恶意技能，植入OpenClaw的技能库。核心原因包括技能审核机制缺失、技能权限未分级、大模型对技能的安全判断能力不足。

OpenClaw默认以高权限运行，易被诱导执行危险系统命令。其”本地优先架构”与”高权限执行”的冲突设计，使其成为黑客进行Payload组装攻击的天然”肉鸡”。攻击者仅通过恶意插件投毒、记忆篡改等隐蔽手段，即可在多阶段持续操控系统。

 03 三层围栏：华为的安全解法

传统安全方案针对”代码”和”网络”，华为在白皮书中试图走另一条路——针对”智力”设计防护架构。

报告提出”网络围栏+Agent围栏+主机围栏”三层防护体系：

网络围栏解决公网暴露和横向渗透；

Agent围栏解决供应链投毒和权限失控；

主机围栏解决数据泄露和内部越权。

核心技术AIDR支持内核级采集敏感文件读写事件，实现窃密行为检测、实时阻断及告警。

 04 部署模式：集中部署是唯一生产级选择

报告给出了明确的部署建议。

三种部署模式的风险存在本质差异：

办公终端部署安全边界分散、数据多点暴露、管理审计困难，仅适合小范围试点；

公有云部署安全边界模糊、数据脱离自有边界，需完成合规审查后审慎采用；

企业内部集中部署安全边界清晰、数据不出域、治理控制点集中，是生产环境的相对最稳健选择。

华为推荐：企业内部集中部署+容器化。

 红线检查：3个立即执行的动作 

如果你已经在用OpenClaw，或者正打算部署AI Agent——

动作1：48小时内扫描你的OpenClaw暴露面

你的OpenClaw实例是否在公网暴露？是否使用了默认凭证？华为白皮书的第一步就是资产梳理，大多数企业连自己有多少个OpenClaw实例都说不清楚。

动作2：本周内审查你的Skills供应链

你的OpenClaw安装了多少第三方技能？这些技能来自哪里？是否经过代码签名？华为报告中的824个恶意技能证明，供应链投毒不是理论风险，是正在发生的现实。

动作3：30天内评估你的部署模式风险

你的OpenClaw部署在办公PC、公有云还是企业内网？华为白皮书的核心判断是：生产环境必须采用企业内部集中部署，办公终端部署仅适合小范围试点，公有云部署需完成合规审查后审慎采用。

 写在最后 

《OpenClaw安全解决方案技术白皮书》最狠的一句话，藏在开篇：“AI大模型从’Chat（对话）’走向’Agentic（行动）’与多智能体路由，进入企业生产环境，实现从’辅助工具’到’自主员工’的跨越。”

翻译一下：现在大多数企业的AI Agent部署，还在拼功能清单。

问题是——你的OpenClaw能安排日程、编写代码、整理文件，但它会不会也在你不知情的时候，把敏感数据发给黑客？如果AI Agent从”辅助工具”变成”自主员工”，你的安全团队准备好了吗？

华为给了43页答案，你的倒计时，从今天开始。