乐于分享
好东西不私藏

OpenClaw:用户面临的风险及缓解应对方案

OpenClaw:用户面临的风险及缓解应对方案

OpenClaw 曾用名 Clawdbot、Moltbot,如今已是全球公认发展速度最快、规模最成熟的人工智能智能体生态平台之一。该工具凭借灵活的特性,能够处理以往需要耗费大量时间才能自动完成、落地执行的复杂任务,因此迅速收获大量用户。

项目走红后,配套专属工具市场应运而生,开发者与用户纷纷上架可对接 OpenClaw 的各类工具。目前全球各地企业员工都在使用 OpenClaw 实现工作自动化,但多数人并未意识到,这种使用行为会给自身及所在企业带来安全风险。

本文将剖析 OpenClaw 的多项安全隐患,分析攻击者可利用该平台实施攻击的途径、现已曝光的相关漏洞,以及企业应采取何种防护手段规避此类风险。

OpenClaw 技能模块

该智能体可接收自然语言指令、无需使用者掌握编程语言,同时支持调用各类技能以拓展自身能力,这几点保障了本项目的落地成效。OpenClaw 的整体架构如下所示:

OpenClaw 整体架构

如图所示,该系统设计为可搭配代理技能使用。这些技能既可本地存储在已安装代理程序的设备中,也能从外部渠道获取。撰写本文时,平台采用名为“ClawHub”的专属中心,用于向其他用户共享各类技能。

OpenClaw技能的核心优势之一是制作门槛低,无需编写代码。一项技能本质上是一组以自然语言编写的指令,当然其中也可嵌入代码。目前已有通用规范定义技能格式:标准文件名为SKILL.md,同时也存在结构更复杂的衍生格式。这类文件的硬性要求为必须采用纯文本格式。以下截取一段技能示例以供参考:

Openclaw 技能示例

OpenClaw 技能的应用场景十分广泛,既可以处理查看邮件、电脑常规操作与数据计算这类日常工作,也能搭建用于测试、调研或软件开发的复杂流程链路。执行绝大多数操作时,智能代理需要访问操作系统文件系统,同时获取其对接各类系统所需的令牌与密钥。相关全部必要数据,通常由用户通过环境变量,或是存放在代理程序同目录下的明文文件提供。

由于大量技能能够实现工作流程自动化,全球企业员工都在积极使用该工具。该系统普及度高,加之人工智能技术整体热度居高不下,这一现状也吸引了大量攻击者将目光投向该项目。

OpenClaw 相关漏洞

短短不到两年时间里,研究人员共在 OpenClaw 程序本体及其底层支撑技术中发现约 530 个漏洞。不过,CVE 漏洞数据库从 2026 年 2 月才开始收录 OpenClaw 相关漏洞。下文将按危险等级对这些漏洞分类说明。

已登记漏洞

如图表所示,高危漏洞数量较多。这类漏洞大多根源在于敏感数据存储存在缺陷,以及权限配置过高的问题。攻击者可利用每一处漏洞劫持代理程序,或是注入恶意指令使其执行。

恶意技能

除利用漏洞、欺骗用户外,针对 OpenClaw 还存在一类更具针对性的攻击载体,也就是技能。

本次研究从逻辑层面将供应链攻击与恶意技能分发行为进行类比。但和常规供应链攻击不同,制作恶意技能的门槛极低,攻击者无需专门开发定制恶意软件。尽管如此,在 2026 年 2 月 7 日之前,平台从未对任何技能开展基础安全检测,致使恶意技能能够直接上线。我们于 4 月对技能中心开展扫描,发现 24 个账号共分发超 600 项恶意技能。综合开源情报来看,自 1 月起已有超过 1100 个恶意账号被注册。

经过多轮调查,并投入大量人力清理技能库内恶意内容后,平台发布公告:所有上传文件将通过维特托尔(VirusTotal)与英伟达的 SkillSpector 工具完成初步扫描。此举一方面让技能发布流程更合规负责;但另一方面,由于 OpenClaw 本质是执行指令集的智能代理,恶意行为检测的难度也提升至全新层级。如今检测工作不仅要排查文件内应当拦截的危险指令,还需甄别技能中有害指令可能触发的各类恶意行为。以下是一段采用自然语言编写的恶意指令示例:

技能动作中的恶意命令示例

一段调用部分 Bash 命令的恶意命令示例:

技能内部存在恶意指令

卡巴斯基产品会将图片中的示例及同类恶意工具识别为启发式病毒:HEUR:Trojan.ANSI.MalClaw.gen。

此外,卡巴斯基产品会监控系统中恶意 OpenClaw 工具的运行行为。以下是我方系统捕获到恶意 OpenClaw 客户端行为的检测统计数据,6 月统计数据仅覆盖当月上旬。

卡巴斯基对 OpenClaw 恶意程序的产品检测数据

如图表所示,尽管已采取相关措施遏制恶意程序工具的发布,相关攻击行为仍持续发生。因此,需采用分层防护机制,将OpenClaw代理程序与核心数据及基础设施系统隔离开来,这一点至关重要。我们同时建议对所有流入企业内网边界的程序工具进行检测,卡巴斯基扫描引擎可满足该需求。该解决方案专为防护网页应用、代理服务器、网络存储设备及邮件网关打造,能够适配接入几乎所有应用程序,部署与运维操作简便易行。

扫描引擎检测到恶意程序行为

此外,请监控代理程序发起的网络访问行为。针对该需求,本项目已配套提供沙箱子系统,以及各类用于调用应用程序接口与服务的封装程序。最后,制定一套完善的人工智能使用规范,并确保员工绝不使用未经明确许可的第三方工具。