OpenClaw 爆火背后的冷思考:高权限 AI Agent 的安全挑战与应对

上周，我们分享了 OpenClaw 在企业监控体系中的实践文章《当运维圈聊“龙虾”：我们用OpenClaw重构了Zabbix的打开方式》。推文发布后，收到了许多关于部署与使用的技术咨询，值得提醒的是，OpenClaw 的出现确实掀起了AI agent时代的热潮，但在“全民养虾”现象的背后，其伴随的安全风险绝不容忽视。为此，我们结合最新的安全情报与实战经验，梳理了OpenClaw的核心风险点、典型案例分析及防护建议，旨在为大家提供一份实用的安全落地参考。

一、OpenClaw 面临的五大核心安全挑战

OpenClaw 的安全问题，并非简单的代码漏洞，而是「高权限设计」带来的先天缺陷，叠加生态审核缺失、用户配置失当等问题，形成了层层递进的致命安全网，也给企业 IT 安全防护带来了全新挑战。

1、权限与信任边界：高权限成最大 “定时炸弹”

作为 “执行型 AI 代理”，OpenClaw 默认被授予系统级权限，可直接访问本地文件、执行系统命令、读取 API 密钥，甚至安装扩展。但它错误地将所有本地连接视为可信，权限管控逻辑存在致命缺陷，攻击者只需稍加诱导，就能让 AI 执行越权操作，直接接管整个用户系统。

2、供应链与插件生态：近 2.5万个 Skill 藏恶意陷阱

OpenClaw 的插件仓库 ClawHub 已有近 2.5 万个技能（Skill）插件，但官方审核机制几乎形同虚设。攻击者批量上传伪装成效率工具、业务辅助插件的恶意程序，甚至通过代装服务、开源依赖更新植入后门；更有甚者将恶意代码植入核心依赖库，通过合法更新渠道实现大范围传播，形成规模化供应链攻击。

3、漏洞利用：多个高中危漏洞可远程控机

目前 OpenClaw 已曝出多个被官方收录的高中危漏洞，部分漏洞杀伤力拉满：CVE-2026-25253 远程代码执行漏洞（CVSS 3.1 基础评分 8.8 分，已被 CNVD 收录），可让攻击者构造恶意链接执行任意系统命令；此外还有身份验证绕过、网关未授权访问等多个高危漏洞，攻击者可直接接管网关，实现对目标系统的完全控制。

4、AI 特性：智能体的 “自主行为” 成安全盲区

作为 AI 智能体，OpenClaw 的自主决策特性带来了独特风险：攻击者可通过提示词注入让 AI 忽略安全规则、泄露私密信息；AI 固有的 “幻觉” 问题，在高权限加持下可能误删核心数据；而大规模数据处理时的上下文压缩，会让 “禁止执行高危操作” 的关键约束被跳过，酿成不可逆损失。

5、配置失当：超 23 万个实例公网裸奔，蜜罐几分钟就被探测

用户的失当配置，让 OpenClaw 的原生风险被指数级放大。全球已有23万+ OpenClaw 实例直接暴露在互联网上，其中中国占比超3成，针对默认端口 18789 的蜜罐，部署后几分钟内就会收到攻击者的批量探测请求，配置失当的实例几乎瞬间就会被入侵。

二、典型风险案例复盘

以下案例均源自公开报道，反映了“养虾”在现实场景中的存在的安全隐患：

案例一：约束指令失效导致的数据误删
Meta 超级智能团队的 AI 安全与对齐研究员Summer Yue 在测试 OpenClaw 自动整理邮箱时，尽管明确下达了“仅建议、不执行”的指令，但因邮箱信息量过大触发 OpenClaw 上下文压缩机制，核心安全约束指令被直接跳过，导致数百封核心工作邮件被不可逆删除。该事件表明，AI 的安全对齐不能仅依赖 Prompt，必须通过工程化、持久化、硬件级的多重约束进行兜底。

案例二：配置疏忽引发的资产损失
某海外开发者部署OpenClaw 用于自动化处理浏览器任务，疏忽将运行 OpenClaw 的 VNC 服务暴露在公网，被攻击者扫描入侵后，利用其浏览器自动填充功能窃取了信用卡信息并盗刷，造成了直接的财产损失。此案例凸显了网络隔离与敏感数据保护的必要性。
案例三：ClawHavoc 供应链投毒事件
“ClawHavoc”是针对ClawHub 发起的供应链投毒攻击事件，攻击者上传伪装成“效率工具”、“加密钱包追踪器”的恶意插件，用户一旦安装，不仅会被窃取本地的敏感数据，甚至会被诱导下载木马病毒，导致系统完全被控。安全厂商审计发现，在抽查的 2857 个技能插件中，有 341 个为恶意插件，占比高达 12%，这促使社区重新审视开源插件的审核与签名机制。