工信部NVDB发布OpenClaw安全通报!40个漏洞24个高危,龙虾用户如何自保?

2026年6月17日，国家信息安全漏洞库（CNNVD）发布重磅通报：自2026年5月18日至6月14日短短27天内，共采集OpenClaw安全漏洞40个，其中高危漏洞24个，占比高达60%。

这不是普通的版本更新公告，这是官方盖章的”危险警告”。

作为全球最火的开源AI Agent之一，OpenClaw（江湖人称”龙虾”）又一次被官方点名了。今天咱们就来扒一扒，这次通报到底说了什么，以及咱们这些”养虾人”该怎么自保。

一、27天40个漏洞，这”龙虾”是不是有毒？

先看官方数据：

27天40个漏洞是什么概念？平均下来每天接近1.5个。这已经不是”小毛病”了，这是系统性的安全危机。

漏洞类型更是五花八门：

• 授权问题
  
  13个，占比最高
• 代码问题
  
  4个
• 路径遍历
  
  2个
• 竞争条件
  
  2个
• 输入验证错误
  
  1个
• 其他
  
  若干

官方原文更是直接点名：“攻击者利用漏洞可在未授权状态下获取目标敏感数据，提升权限、或远程执行代码。”

翻译成人话就是：你的龙虾可能被黑客一键接管，数据没了、权限丢了、甚至服务器都成别人的了。

二、高危漏洞详解：谁在裸奔？

2.1 授权问题：最普遍的风险

这次通报中，授权问题漏洞数量最多，达13个。这类漏洞的核心问题是：本该需要权限的操作，攻击者可以不经过验证就直接执行。

典型场景包括：

• 通过构造特殊请求，绕过身份认证
• 利用会话机制缺陷，劫持他人会话
• API端点缺少权限校验，被恶意调用

某安全团队的实测显示，在默认配置下，攻击者可以在无需任何凭证的情况下访问OpenClaw Gateway的敏感接口。这意味着，如果你的OpenClaw暴露在公网，攻击者甚至不需要”破解”，直接就能进。

2.2 路径遍历：文件系统的隐形后门

2个路径遍历漏洞同样值得警惕。这类漏洞允许攻击者通过构造特殊路径字符，绕过目录限制，访问服务器上的任意文件。

正常请求：读取 ~/.openclaw/config.json 攻击请求：读取 /etc/passwd 正常请求：访问 workspace/docs/report.pdf 攻击请求：访问 workspace/../../../root/.ssh/id_rsa

想象一下，如果OpenClaw有读取文件的权限，攻击者通过这个漏洞能拿到什么？SSH密钥、配置文件、数据库凭证…全暴露。

2.3 竞争条件：被忽视的定时炸弹

2个竞争条件漏洞听起来专业，其实原理很简单：系统在处理并发请求时，由于时序问题，导致本该被拦截的操作被放行。

比如，系统设计逻辑是”先验证身份，再执行操作”，但在高并发场景下，验证还没完成，操作就已经开始执行了——安全检查直接被绕过。

2.4 远程代码执行：最危险的那一个

虽然没有在这次通报中单独列出，但历史漏洞CVE-2026-25253（CVSS评分8.8）的攻击链让人脊背发凉：

1. 攻击者构造一个恶意网页
2. 诱骗用户点击链接
3. 用户浏览器自动向localhost的OpenClaw Gateway发送请求
4. 由于localhost被信任，请求被直接执行
5. 攻击者获得系统完全控制权

你什么都没做，只是点了一个链接，服务器就成黑客的了。

三、为什么总是OpenClaw？

看到这里，你可能会问：这”龙虾”是不是天生体质差？怎么漏洞这么多？

其实，这背后有三个结构性原因。

3.1 高权限是双刃剑

OpenClaw的核心能力是”跨平台操作”——读写文件、执行命令、访问邮件、控制浏览器…这些能力让它强大，但也让它成为了攻击者的”完美目标”。

权限越高，被攻破后的损失越大。 一旦攻击者获得了OpenClaw的控制权，他能做的事情可能比系统管理员还多。

3.2 快速迭代的代价

作为GitHub上增长最快的项目之一，OpenClaw的更新速度堪称”疯狂”。2026年以来，几乎每个月都有大版本发布。

快是快了，但安全审计往往跟不上功能迭代。这次通报的40个漏洞，有相当一部分就是快速迭代中遗留的”技术债”。

3.3 默认配置的安全盲区

很多用户安装OpenClaw后，直接使用默认配置。但问题是，默认配置往往追求”开箱即用”，而非”安全第一”。

比如：

• Gateway默认绑定所有网络接口（0.0.0.0），而非仅本地（127.0.0.1）
• 默认无强身份认证
• API密钥明文存储在配置文件中

这些”便利”设计，在追求效率的同时，也为攻击者打开了方便之门。

四、OpenClaw v2026.6.8：修复了什么？

好，批评完了，也得说说改进。

6月16日发布的OpenClaw v2026.6.8版本，带来了185个合并PR，在安全方面有重要更新：

4.1 SecretRef托管认证上线

最大的变化是密钥管理更安全了。新版本支持SecretRef机制，允许用户将API密钥、认证Token等敏感信息托管在专门的密钥管理系统中，而不是明文写在配置文件里。

这相当于从”把密码写在大门上”升级成了”使用专业保险柜”。

4.2 免Key搜索默认禁用

之前有用户反馈，OpenClaw会自动使用免费的搜索服务，导致”意外惊喜”——比如绑定了收费API，却被偷偷调用了免费服务。

新版本把这个”免Key搜索”默认禁用了，用户需要显式opt-in才会启用。

4.3 模型路由安全加固

• OpenAI/Anthropic工具schema恢复更安全
• 模型浏览加入边界限制
• 供应商ID规范化（OpenRouter/Google Vertex路径）

4.4 授权与策略收紧

• phone-control mutation authorization收紧
• directive persistence authorization policy澄清
• 多处竞态条件和边界校验修复

但是！ 官方公告也承认，v2026.6.8不能完全覆盖本次CNNVD通报的所有漏洞。官方建议用户密切关注后续补丁发布。

五、安全自保指南：你的龙虾你做主

5.1 立即行动清单

今天就做：

1. 升级到最新版本

# Linux查看端口绑定 ss -tlnp | grep 18789 # 如果显示0.0.0.0:18789，说明已暴露

3. 启用Gateway强认证

在openclaw.json中配置：

{ "gateway": { "auth": { "token": "使用至少32位随机字符串" } } }

4. 更改默认端口（可选但推荐）

将18789改成其他端口，减少被扫描风险

5.2 配置加固清单

推荐配置：

{ "gateway": { "bind": "loopback", // 只监听本地 "port": 18789, "auth": { "token": "你的32位随机Token" } }, "sandbox": { "mode": "all" // 启用沙箱隔离 }, "tools": { "allow": ["read", "search", "calendar"], "deny": ["exec", "write", "browser"] // 根据需求调整 } }

5.3 插件使用避坑指南

ClawHub上有近3000个插件，但安全审计跟不上插件增长速度。使用建议：

• ✅ 从可信来源安装插件
• ✅ 安装前查看代码（如果有能力）
• ❌ 不要安装要求”下载ZIP”或”执行shell脚本”的插件
• ❌ 不要安装要求输入密码的插件
• ❌ 不要安装来源不明或Star极少的插件

5.4 企业用户特别建议

如果你是企业用户，还要注意：

六、结语：养虾有风险，且用且珍惜

这波CNNVD通报，给所有”养虾人”提了个醒：AI Agent不是玩具，是需要认真对待的系统级工具。

它能读写你的文件、执行系统命令、访问你的邮件和日历——这些能力意味着，一旦被攻破，损失远超普通软件。

🔒 安全建议总结

• 🔴 立即升级到最新版本
• 🔴 检查并收紧网络暴露
• 🔴 启用Gateway强认证
• 🟡 谨慎使用第三方插件
• 🟡 定期检查更新和漏洞公告
• 🟢 考虑沙箱隔离部署
• 🟢 建立安全审计机制

最后送大家一句话：养虾有风险，且用且珍惜。别让效率的诱惑，变成了安全的噩梦。

【梨话代语】