夜雨聆风OpenClaw 安全隐忧.md
OpenClaw 爆火背后的安全隐忧:当 AI 助手变成"数字内鬼"
27 万用户暴露在风险中,40% 实例关联国家级黑客组织,这款"史上增长最快"的 AI 工具,到底是效率神器还是特洛伊木马?
文 | 星尘
引子:当神话遭遇现实
2026 年 1 月,一个名为 OpenClaw 的开源项目在 GitHub 上横空出世。
单日 25,000 颗 Star,创造了开源项目历史上前所未有的增长纪录。短短两个月,Star 数飙升至29.6 万,被硅谷投资人称为"下一个 ChatGPT 时刻"。
这款被称为"数字利爪"的 AI Agent 框架,能够理解自然语言指令,自动执行复杂任务——读写文件、发送消息、控制终端、调用 API,几乎拥有你电脑的"上帝模式"。
然而,神话在 2026 年 3 月遭遇现实的重击。
3 月 9 日,工信部网络安全威胁和漏洞信息共享平台发布预警:OpenClaw 存在配置性安全漏洞,不当部署极易引发信息泄露、系统被控。
3 月 10 日,国家互联网应急中心(CNCERT)发布风险提示:默认安全配置极为脆弱,攻击者一旦找到突破口,后果不堪设想。
3 月 11 日,启明星辰安全团队发布深度报告,揭露针对 OpenClaw 用户的全链条攻击矩阵。
273,548 个 OpenClaw 实例暴露在公网,37.2% 存在凭据泄露,40.7% 与已知威胁组织关联——其中包括朝鲜 APT37、Kimsuky,俄罗斯 APT28、Sandworm Team 等国家级攻击者。
当 AI 助手变成"数字内鬼",我们该如何自处?
一、OpenClaw 是什么?
1.1 史上增长最快的开源项目
OpenClaw(曾用名 Clawdbot、Moltbot)是一款开源 AI 智能体(AI Agent)框架。它的核心思想很简单:用大语言模型来理解和执行用户的自然语言指令。
想象一下,你不需要学习复杂的命令行,不需要写代码,只需要对电脑说:
“帮我把昨天的会议记录整理成文档,发给参会所有人” “监控这个 GitHub 仓库,有新 issue 时通知我” “把这三个视频剪辑到一起,配上背景音乐”
OpenClaw 就能自动完成这些任务。它能够:
✅ 自动化复杂的工作流程 ✅ 调用各种工具和 API ✅ 执行 Shell 命令和脚本 ✅ 操作文件系统和应用程序 ✅ 与通讯软件交互(微信、Telegram、Slack 等)
1.2 为什么这么火?
OpenClaw 的爆火并非偶然。它踩中了三个关键趋势:
1. AI Agent 元年的到来
2025 年被视为 AI Agent 元年,从 AutoGPT 到 LangChain,从 Devin 到 Manus,AI 正在从"对话"走向"行动"。OpenClaw 恰好提供了一个通用的、可扩展的 Agent 框架。
2. 开发者对效率的极致追求
对于开发者来说,OpenClaw 意味着可以自动化重复性工作:自动回复 Issue、自动部署代码、自动监控日志、自动写测试用例……它就像一个 24 小时在线的超级助手。
3. 开源生态的爆发力
OpenClaw 采用了开放的插件生态设计——ClawHub 市场允许任何人上传"技能"(Skills)。短短几周,市场上就出现了2,857 个技能,涵盖开发、运营、设计、数据分析等各个领域。
1.3 谁在用 OpenClaw?
根据官方统计,OpenClaw 的用户画像主要包括三类:
- 开发者(65%)
:用于自动化开发工作流 - 企业用户(25%)
:用于客服、运营、数据分析 - 技术爱好者(10%)
:用于个人效率提升
问题在于,当一个 AI 代理可以不受限制地读写你的文件、发送你的消息、控制你的终端时,每一次安全漏洞都可能意味着灾难性的后果。
二、安全隐患大起底
2.1 供应链攻击:你下载的可能是"假 OpenClaw"
如果你认为只从官方渠道下载软件就足够安全,那 OpenClaw 的故事会让你重新思考这个假设。
恶意 NPM 包事件
2026 年 3 月,JFrog 安全研究团队披露了一起名为 GhostClaw 的供应链攻击事件。
攻击者在 npm 仓库发布了一个恶意软件包 @openclaw-ai/openclawai,伪装成 OpenClaw 的官方组件。这个包有完整的文档、看起来专业的 README,甚至还有"使用教程"。
一旦开发者在本地环境中安装该依赖,恶意代码便会在安装阶段自动执行。攻击的精妙之处在于它的社会工程学设计:
- 假安装界面
:显示精心制作的命令行界面,带有动画进度条 - 伪造授权提示
:弹出伪造的 iCloud Keychain 授权框,要求输入系统密码 - 后台下载载荷
:从攻击者服务器下载第二阶段加密载荷 GhostLoader - 建立持久化
:在隐藏目录中创建启动脚本或 cron 任务 - 数据窃取
:系统性窃取浏览器密码、SSH 密钥、云服务凭证、加密货币钱包、iMessage 历史记录
ClawHub 市场的沦陷
如果说 NPM 包攻击是"外部威胁",那 ClawHub 市场的沦陷就是"内部危机"。
启明星辰安全团队对 ClawHub 上的 2,857 个技能进行了全面审计,结果令人震惊:
- 341 个恶意技能
被确认(占比 12%) 后续调查增长至824 个恶意技能 相当于每 8 个技能中就有 1 个是坏的
这些恶意技能的伪装手法多种多样:
攻击的关键在于"前置条件"这个巧妙的设计。这些恶意技能会告诉用户:
“为了使用该技能,你需要先安装必需组件。”
- Windows 用户
:下载名为 openclaw-agent.zip的压缩包 - macOS 用户
:在终端运行一行"配置命令"
一旦执行,攻击者就可以远程控制系统,窃取高价值数据。
GitHub 仓库投毒
更令人担忧的是,在报告发布时,OpenClaw 官方 Skill 仓库中仍存在恶意技能。
一个名为"LinkedIn 智能求职系统"的技能,声称提供基于 AI 的职位搜索、简历定制、一键申请等功能。文档中要求用户:
- Windows
:下载 AuthTool.exe(密码 1234) - macOS
:在终端运行一行命令
目前该恶意账户已被封禁,但已有部分用户中招。
2.2 暴露面失控:27 万实例成"活靶子"
当用户将 OpenClaw 部署到云服务器以便随时访问时,他们可能没有意识到自己的电脑已经成为了互联网上的一个活靶子。
根据 2026 年 3 月 10 日的最新扫描数据:
40.7% 与已知威胁组织关联——这个数字意味着什么?
这意味着超过 11 万个 OpenClaw 实例可能被以下组织控制或利用:
- APT37(朝鲜)
:专注于金融、媒体、国防领域 - Kimsuky(朝鲜)
:针对智库、外交、安全研究机构 - APT28(俄罗斯)
:针对政府、军事、安全组织 - Sandworm Team(俄罗斯)
:关键基础设施攻击专家
每一台被攻陷的主机,都可能成为攻击者深入企业内网的跳板。
真实攻击案例
案例 1:加密货币钱包失窃
2026 年 2 月,一位开发者在 ClawHub 上下载了一个"Solana 钱包追踪器"技能。安装后,他的 MetaMask 钱包中的 15 个 ETH 被转走,价值约 3.6 万美元。
案例 2:企业内网渗透
某科技公司的员工在个人电脑上部署了 OpenClaw,并暴露到公网。攻击者通过该实例获取了公司的 Slack 访问权限,进而渗透到内网,窃取了源代码和客户数据。
案例 3:iMessage 历史记录泄露
多名 macOS 用户报告 iMessage 历史记录被窃取。攻击者通过恶意技能获取了 iMessage 数据库的访问权限,包括短信验证码——这意味着他们可以重置各种在线账户的密码。
2.3 设计缺陷:权限过大,防护不足
OpenClaw 的安全问题不仅仅是配置不当,更深层次的原因在于其设计理念。
问题 1:权限即服务
OpenClaw 采用了"权限即服务"的设计理念,理论上允许直接跨协议调用与无限制的终端操作。这一特性在满足高度自由定制的同时,也使其成为了黑客进行 Payload 组装攻击的天然"肉鸡"。
用安全专家的话说:
“OpenClaw 给了 AI 上帝模式,却没有给 AI 装上刹车。”
问题 2:缺乏沙箱隔离
传统的安全对抗依赖于严格的软硬件沙箱机制与跨进程内存隔离。而 AI Agent 的驱动核心是大语言模型的语义理解,攻击载荷被直接编码在提示词序列或指令集内,这直接击穿了传统的规则匹配与沙盒隔离防护体系。
问题 3:提示词注入攻击
火绒安全工程师发现,OpenClaw 在从网络收集信息时,存在将恶意内容误执行为指令的安全风险。
具体表现为:当 OpenClaw 获取网页信息时,攻击者可通过在网页中植入恶意指令,引导 AI 执行非预期操作。这种攻击被称为"提示词注入",类似于 SQL 注入,但针对的是 AI 模型。
问题 4:狂野的迭代速度
从 Clawdbot 到 Moltbot 再到 OpenClaw,这个项目在短短三周内经历了两次更名,每次更名都伴随着新的功能上线和安全机制的重新设计。
这种近乎狂野的开发节奏固然满足了用户对新功能的渴望,但也让安全审计成为了一个不可能完成的任务。
三、监管层态度
3.1 工信部预警(3 月 9 日)
工信部网络安全威胁和漏洞信息共享平台(NVDB)监测通报:
开源 AI 智能体 OpenClaw 存配置性安全漏洞,不当部署极易引发信息泄露、系统被控等风险。
3.2 CNCERT 风险提示(3 月 10 日)
国家互联网应急中心发布风险提示:
由于 OpenClaw 智能体的不当安装和使用,已经出现了一些严重的安全风险。建议相关单位和个人用户在部署和应用时强化网络控制,加强凭证管理,严格审核来源。
3.3 "六要六不要"指南(3 月 11 日)
工信部正式发布 OpenClaw 安全使用"六要六不要":
六要:
要强化网络控制 要加强凭证管理 要严格审核来源 要及时更新版本 要留存操作日志 要持续安全监测
六不要:
不要暴露公网 不要高权运行 不要乱装技能 不要乱点链接 不要忽略告警 不要延迟修补
3.4 专家观点
百川智能创始人王小川在谈及"全民养虾"热潮时表示:
“OpenClaw 类智能体所引发的安全问题或在 2026 年集中爆发。这类工具还远没有成为人人能用的成熟产品。”
他认为,AI Agent 的安全机制需要与功能同步发展,否则创新速度跑在安全前面,最终会反噬整个行业。
四、到底该不该用?
这是每个看到这篇文章的人最关心的问题。答案不是简单的"能"或"不能",而是取决于你是谁、用在什么场景、如何配置。
4.1 可以用的条件
如果你满足以下所有条件,可以考虑使用 OpenClaw:
✅ 本地部署,不暴露公网
仅在本地网络使用 不开放公网访问 配置防火墙规则
✅ 最小权限原则
使用普通用户权限运行 禁用不必要的功能 限制文件访问范围
✅ 只装官方技能
不从 ClawHub 下载技能 只使用官方仓库的技能 自行审计技能代码
✅ 定期更新
及时更新 OpenClaw 版本 关注安全公告 及时修补漏洞
✅ 有安全审计能力
能够查看操作日志 能够监控异常行为 有应急响应流程
4.2 不建议用的场景
如果你处于以下场景,强烈建议暂时不要使用:
❌ 企业核心环境
生产服务器 核心业务系统 敏感数据处理环境
❌ 处理敏感数据
金融账户信息 个人身份信息 商业机密
❌ 无安全团队支持
个人用户缺乏安全知识 企业没有专职安全人员 无法进行安全审计
❌ 生产环境
7x24 小时运行的服务 关键基础设施 无法承受中断的系统
4.3 用户画像建议
五、安全使用指南
如果你决定使用 OpenClaw,请务必遵循以下安全指南。
5.1 部署前检查清单
□ 评估是否真的需要
□ 准备隔离环境(虚拟机/容器)
□ 备份重要数据
□ 了解基本风险
□ 阅读官方安全文档
5.2 配置安全设置
1. 网络控制
# 仅监听本地地址
export OPENCLAW_HOST=127.0.0.1
# 配置防火墙
ufw deny 8080 # 阻止公网访问
ufw allow from 127.0.0.1 to any port 8080
2. 权限管理
# 创建专用用户
sudo useradd -m openclaw
# 使用普通用户运行
sudo -u openclaw openclaw start
3. 凭证保护
# 使用密钥管理工具
# 不要硬编码凭证在配置文件中
# 定期更换 API 密钥
5.3 使用中注意事项
1. 技能安装
✅ 只从官方仓库安装 ✅ 检查技能代码 ✅ 查看技能评价和评论 ❌ 不从 ClawHub 下载 ❌ 不安装"必需组件"
2. 操作监控
# 查看操作日志
openclaw logs --follow
# 监控异常行为
# 注意未知文件访问
# 注意异常网络请求
3. 定期更新
# 检查更新
openclaw version
# 更新版本
openclaw update
# 查看更新日志
openclaw changelog
5.4 应急响应流程
如果发现异常:
1. 立即停止 OpenClaw 服务
2. 断开网络连接
3. 保存日志文件
4. 检查系统完整性
5. 更改所有凭证
6. 扫描恶意软件
7. 恢复备份数据
8. 报告安全事件
六、替代方案
如果你担心 OpenClaw 的安全风险,可以考虑以下替代方案:
6.1 其他 AI Agent 框架
| LangChain | |||
| AutoGPT | |||
| CrewAI | |||
| OpenClaw |
6.2 云服务商托管方案
- Azure AI Studio
:企业级安全,合规认证 - Google Vertex AI
:内置安全防护,审计日志 - AWS Bedrock
:VPC 隔离,IAM 权限控制
6.3 企业级解决方案
- 微软 Copilot for Business
:企业数据隔离 - 钉钉 AI 助理
:国内合规,数据安全 - 飞书智能伙伴
:企业级权限管理
结语:技术无罪,使用需敬畏
OpenClaw 代表了 AI Agent 的未来方向——让 AI 从"对话"走向"行动",从"建议"走向"执行"。这个方向本身没有错,甚至可以说是必然趋势。
但问题在于,创新的速度跑在了安全的前面。
当一个 AI 助手拥有"上帝模式"的权限,却没有相应的安全机制时,它就像一个没有刹车的跑车——跑得越快,危险越大。
对于普通用户,我们的建议很明确:观望为主,不要急于尝鲜。AI Agent 的机会还有很多,不必在这一棵树上吊死。
对于技术爱好者,如果一定要体验,请在隔离环境中进行,并做好充分的安全防护。
对于企业,建议等待更成熟的企业级解决方案。安全无小事,尤其是当它关系到整个企业的命脉时。
最后,用一句话总结:
技术本身无罪,但使用需要敬畏。在 AI Agent 时代,安全不是可选项,而是必选项。
附录:安全检查清单
## OpenClaw 安全检查清单
### 部署前
□ 评估是否真的需要
□ 准备隔离环境
□ 备份重要数据
□ 了解基本风险
### 配置时
□ 不暴露公网
□ 使用最小权限
□ 禁用不必要功能
□ 配置访问控制
### 使用中
□ 只装官方技能
□ 不点不明链接
□ 定期查看日志
□ 及时更新版本
### 监控
□ 异常行为告警
□ 网络流量监控
□ 文件变更检测
□ 定期安全审计
参考资料:
工信部网络安全威胁和漏洞信息共享平台公告(2026-03-09) 国家互联网应急中心风险提示(2026-03-10) 启明星辰《OpenClaw 安全危机警示录》(2026-03-11) JFrog《GhostClaw 供应链攻击分析》(2026-03) 火绒安全《OpenClaw 提示词注入风险分析》(2026-03) OpenClaw Exposure Watchboard 数据(2026-03-10)
免责声明:本文内容基于公开资料整理,旨在提高安全意识,不构成任何投资或使用建议。请读者自行判断风险,谨慎决策。
如果你觉得这篇文章有帮助,欢迎点赞、转发,让更多人了解 OpenClaw 的安全风险。
关注我,获取更多 AI 安全深度分析。
