OpenClaw 安全指南:已披露的漏洞与防护建议

OpenClaw 安全指南：已披露的漏洞与防护建议

OpenClaw 作为能"真正做事"的 AI 助手正在流行，但也因其自主能力带来了独特安全风险。本文梳理已确认的安全漏洞，并提供实用的防护建议。

一、OpenClaw 是什么？

OpenClaw（曾用名 Moltbot、Clawdbot）是由奥地利开发者 Peter Steinberger 创建的开源 AI 代理。目前在 GitHub 上拥有超过 68,000 颗星。

核心特点：

🏠 本地运行 — 在你的设备上运行，数据不出本地
🧠 上下文记忆 — 通过 Markdown 文件存储长期记忆
⚡ 实际操作能力 — 能执行 shell 命令、操作浏览器、管理文件
📱 多平台接入 — 支持 Telegram、WhatsApp、Discord、QQ 等

"自黑架构"：OpenClaw 将配置、记忆和技能存储在本地 Markdown 文件中，允许 AI 自我改进。这种设计灵活，但也意味着一旦被攻击者利用，后果严重。

二、已确认的安全漏洞

2.1 OpenClaw 相关 CVE 清单

根据 NVD（美国国家漏洞数据库）和官方安全公告，以下是与 OpenClaw 直接相关的已披露漏洞：

CVE 编号	CVSS 评分	漏洞类型	影响版本	修复版本
CVE-2026-25253	8.8	认证令牌窃取 → RCE	< 2026.1.29	2026.1.29
CVE-2026-28456	8.1	hook 模块路径注入	< 2026.2.14	2026.2.14
CVE-2026-25593	7.5	cliPath 命令注入	< 2026.1.20	2026.1.20
CVE-2026-28395	-	网络绑定漏洞	< 2026.2.12	2026.2.12

2.2 主要漏洞详解

CVE-2026-25253：一键 RCE

最严重的漏洞。攻击者可以通过特制链接窃取存储的认证令牌：

攻击流程：
1. 用户点击恶意链接
2. WebSocket 连接到攻击者控制的服务器
3. 认证令牌被发送给攻击者
4. 攻击者获得用户网关的完全控制权

The Hacker News 称其为"一键远程代码执行"漏洞。

CVE-2026-28456：hook 模块路径注入

Gateway 在加载 hook 模块时未充分验证路径，拥有配置修改权限的攻击者可以加载并执行任意代码。

CVE-2026-25593：cliPath 命令注入

通过未经验证的 cliPath 值实现命令注入，本地未认证客户端可以利用 WebSocket API 执行任意命令。

CVE-2026-28395：网络绑定漏洞

Chrome 扩展的 relay 服务器将通配符主机视为 loopback 地址，导致服务器绑定到所有网络接口，暴露给外部攻击者。

三、相关生态的安全风险

3.1 MCP 协议相关漏洞

OpenClaw 支持 MCP（Model Context Protocol）协议扩展能力。MCP 生态近期也披露了严重漏洞：

CVE	CVSS	影响组件	说明
CVE-2025-49596	9.4	MCP Inspector	未认证 RCE
CVE-2025-6514	9.6	mcp-remote	命令注入

注意：这些是 MCP 组件的漏洞，不是 OpenClaw 核心的漏洞，但如果你在使用 MCP 功能，同样需要关注。

3.2 恶意技能风险

Bitdefender 发现了拼写劫持攻击：

合法作者	冒充者
`asleep123`	`aslaep123`

用户可能误安装恶意技能，导致系统被控制。

四、云端 vs 本地：安全对比

维度	☁️ 云端 AI	🏠 本地 AI (OpenClaw)
数据隐私	数据发送到远程服务器	数据留在本地
安全更新	自动更新	需手动更新
攻击面	API 端点	本地权限、网络暴露
硬件要求	无	需要 GPU/CPU
责任	服务商分担	用户全权负责

关键结论：本地 AI 不等于绝对安全。OpenClaw 的"能执行命令"特性使其比普通聊天机器人风险更高。

五、防护建议

5.1 立即行动

# 1. 更新到最新版本
openclaw update

# 2. 检查当前版本
openclaw --version
# 应 >= 2026.2.14

5.2 网络加固

# 禁用外部网络绑定
openclaw config set gateway.bind 127.0.0.1

# 禁用 MDNS 发现
openclaw config set mdns.enabled false

# 配置防火墙（如使用云服务器）
ufw allow 22/tcp      # SSH
ufw deny 3000         # Gateway 默认端口
ufw enable

5.3 权限控制

# 收紧配置文件权限
chmod 600 ~/.openclaw/gateway/.env
chmod 700 ~/.openclaw/workspace

# 敏感操作配置确认
# 在 config.yaml 中设置：
security:
  confirm_before_execute:
    - shell_command
    - file_delete
    - send_message

5.4 技能管理

✅ 只从官方仓库安装
✅ 核对作者名称拼写
✅ 审查技能请求的权限
✅ 定期审查已安装技能
❌ 不安装来源不明的技能

5.5 隔离运行（推荐）

安全社区共识：在你不关心的系统上使用它。

Docker 隔离：

docker run -d \
  --name openclaw \
  --network none \
  -v openclaw-data:/root/.openclaw \
  openclaw/openclaw:latest

或使用独立 VPS：

使用单独的云服务器
使用独立的账号体系
不连接主力服务

六、日常安全检查

检查项	频率	操作
软件更新	每周	`openclaw update`
查看日志	每周	`openclaw logs --week`
审查技能	每月	`openclaw skills list`
检查权限	每月	`ls -la ~/.openclaw`
备份数据	每周	打包 ~/.openclaw

七、总结

核心要点：

已披露 4 个 CVE — 最严重的是 CVE-2026-25253（CVSS 8.8）
必须更新 — 确保版本 >= 2026.2.14
隔离运行 — 不要在主力机器上直接运行
审查技能 — 恶意技能是主要攻击向量
MCP 风险 — 如使用 MCP 扩展，也要关注其漏洞

安全原则：能力越大，责任越大。OpenClaw 是强大的工具，但需要谨慎使用。

参考资料

NVD - CVE-2026-25253 详情：https://nvd.nist.gov/vuln/detail/CVE-2026-25253^[1]
NVD - CVE-2026-28456 详情：https://www.cve.org/CVERecord?id=CVE-2026-28456^[2]
SentinelOne - CVE-2026-25593 分析：https://www.sentinelone.com/vulnerability-database/cve-2026-25593/^[3]
The Hacker News - OpenClaw RCE 报道：https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html^[4]
GitHub - OpenClaw CVE 追踪：https://github.com/jgamblin/OpenClawCVEs^[5]
Palo Alto Networks - AI Agent 安全研究：https://www.paloaltonetworks.com/blog/network-security/why-moltbot-may-signal-ai-crisis/^[6]

免责声明：本文内容基于公开安全资料整理，OpenClaw 团队已修复已披露漏洞。安全威胁持续演进，请关注官方更新。

发布时间：2026年3月14日
信息验证：Tavily 搜索 + NVD 数据库

引用链接

[1]https://nvd.nist.gov/vuln/detail/CVE-2026-25253

[2]https://www.cve.org/CVERecord?id=CVE-2026-28456

[3]https://www.sentinelone.com/vulnerability-database/cve-2026-25593/

[4]https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html

[5]https://github.com/jgamblin/OpenClawCVEs

[6]https://www.paloaltonetworks.com/blog/network-security/why-moltbot-may-signal-ai-crisis/