夜雨聆风
核心判断
OpenClaw在过去不到四个月的时间里已经暴露出一条清晰的安全退化曲线。从CVE-2026-25253的一键RCE到ClawHavoc供应链投毒,再到近期持续被披露的WebSocket Origin绕过和工作区沙箱逃逸,该项目的安全问题并非偶发事件,而是其架构设计逻辑的必然产物。
OpenClaw大概率将在2026年第二至第三季度遭遇一次影响面极广的严重安全事件——不是单一CVE,而是多个攻击向量的复合利用链,核心靶点指向其持久化记忆系统与凭据聚合架构。
下一个重大漏洞的预判方向
基于现有攻击面的演进轨迹和OpenClaw的架构特征,以下三个方向是最可能产生下一次重大安全事件的攻击路径。
2.1 持久化记忆投毒(SOUL.md / MEMORY.md篡改)
「研判」:这是概率最高、影响最深的攻击路径。
OpenClaw的核心设计将长期上下文和行为指令存储在本地的SOUL.md和MEMORY.md文件中。Snyk的ToxicSkills审计发现ClawHub上36%的skill包含可检测的prompt注入。Palo Alto Networks的研究者明确指出,持久化记忆将点对点的一次性利用转化为了「有状态的延迟执行攻击」——恶意载荷不再需要在投递时立即触发,而是可以修改Agent的指令然后静默等待。
这意味着一个看似无害的skill在安装时可以向MEMORY.md注入隐蔽指令,使Agent在未来的某个特定触发条件下执行恶意操作——比如当用户提到某个关键词时自动外泄凭据,或在检测到特定日期后激活反向shell。这种攻击模式目前缺乏任何系统性的防御机制。
预计时间窗口:2026年Q2。随着OpenClaw 3.11/3.12引入基于Gemini embedding的多模态记忆功能,记忆系统的攻击面将显著扩大。
2.2 跨Agent传播链
「待证实」:该路径的技术可行性已有理论支撑,但尚未观察到野外利用。
Tencent在3月10日宣布推出基于OpenClaw构建的全套AI产品并接入微信生态。AWS在Lightsail上线了一键部署的托管OpenClaw服务。当OpenClaw从个人极客工具演变为企业和平台基础设施时,Agent之间的互操作就创造了蠕虫式传播的可能性。
假设攻击者通过恶意skill控制了一个OpenClaw实例,该实例通过Slack、Telegram或企业内部通信渠道与其他OpenClaw实例交互。如果传递的消息内容中嵌入了针对接收方LLM的prompt注入指令,而接收方的安全配置不够严格(这在大多数部署中是常态),那么恶意行为就可以从一个实例跳跃到另一个实例。Moltbook——那个为AI Agent设计的社交网络——为这种跨Agent感染提供了天然的传播介质。
预计时间窗口:2026年Q2至Q3。取决于企业级部署密度达到临界点的速度。
2.3 凭据聚合器的系统性泄露
「研判」:该路径已有部分前兆信号。
OpenClaw的设计本质上是一个凭据聚合器:它存储Claude、OpenAI、Google AI等服务的API密钥,连接邮箱、日历、消息平台,并将这些凭据集中在本地的.env文件和配置目录中。InfoQ的报道确认每个暴露的实例都存储着多个AI服务的凭据。AMOS窃取器的OpenClaw变种已经展示了系统性收集Apple keychain、KeePass数据库、浏览器凭据和文档的完整攻击链。
当前的凭据泄露还停留在通过恶意skill或RCE逐个实例攻击的阶段。但当数以万计的OpenClaw实例运行在云端且绑定到公网IP时,一个针对Gateway API的0day——尤其是认证绕过类漏洞——就可以实现自动化的批量凭据收割。3月12日披露的Origin绕过漏洞(Critical级别)已经证明这种路径是可行的:攻击者页面可以通过trusted-proxy模式获取operator.admin权限并调用config.get暴露敏感配置。
预计时间窗口:2026年Q2。下一个Gateway认证相关的0day出现只是时间问题。
为什么「大规模事件」的条件已经成熟
有几个结构性因素正在加速OpenClaw安全危机的临界点:
增长速度远超安全加固速度。OpenClaw在三个月内从9,000 GitHub星标增长到超过310,000,成为GitHub上星标最多的项目。项目创始人Peter Steinberger在2月14日宣布加入OpenAI,项目将移交给开源基金会。领导层的交接期通常是安全响应能力最薄弱的阶段。
默认配置倾向于可用性而非安全性。旧版本默认绑定到0.0.0.0:18789监听所有网络接口。Bitdefender的审计发现超过135,000个因此暴露在公网的实例。用户出于便利性惯常授予Agent完整磁盘访问和终端权限。便利与安全之间的张力在OpenClaw生态中始终倾向前者。
企业影子AI的渗透。Bitdefender的GravityZone遥测数据已经确认OpenClaw被部署到企业终端上,员工使用单行安装命令将AI Agent直接部署在公司设备上,绕过了SOC的可见性。工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)以及国家互联网应急中心(CNCERT)先后限制国有企业和政府机关在办公电脑上运行OpenClaw,这一行动本身就是风险信号的确认。
prompt注入仍是行业级未解难题。OpenClaw项目自身在博客中承认这一点。当一个拥有系统级权限的Agent处理不可信内容时,任何通过数据通道传入的恶意指令都可能被LLM解释为合法的用户指令。Giskard的研究证明,精心构造的prompt可以从运行中的Agent提取API密钥、环境变量和秘密信息。Cisco的AI安全研究团队测试了第三方OpenClaw skill,发现在用户不知情的情况下执行了数据外泄和prompt注入。
最可能的「重大事件」形态
综合以上分析,最可能的重大安全事件形态并非来自单一漏洞的利用,而是以下复合攻击链:
初始入口:通过ClawHub或SkillsMP投放伪装精良的恶意skill,或利用Gateway认证绕过类0day获取实例控制权 持久化:篡改SOUL.md/MEMORY.md植入延迟执行的恶意指令 凭据收割:批量提取.env文件中的API密钥、OAuth token和服务凭据 横向移动:利用被控实例的消息通道向其他OpenClaw实例传播prompt注入载荷 变现:窃取的加密货币钱包私钥直接转账,API密钥用于生成大额LLM调用账单或作为进一步渗透的跳板
这一攻击链中的每一步在技术上都已被独立验证为可行。将它们串联起来只是攻击者工程化投入的问题。
建议措施
对于正在使用或评估OpenClaw的机构和个人:
绝对不要在企业设备或存储有重要凭据的个人设备上运行OpenClaw,除非在严格隔离的虚拟环境中。保持版本更新至最新稳定版。禁用自动skill更新,所有第三方skill安装前必须人工审查源代码。将Gateway绑定到127.0.0.1而非默认地址。启用严格的出站网络监控。定期审计SOUL.md和MEMORY.md文件的完整性。为所有连接的API服务使用最小权限的独立凭据,并定期轮换。
对于威胁情报团队:将OpenClaw相关的CVE列入优先监控列表,关注ClawHub的恶意skill增长趋势,在暗网论坛中监控针对OpenClaw实例的漏洞交易和凭据出售活动。