夜雨聆风OpenClaw正在席卷开发者社区。
这款AI编程助手工具在GitHub上的星标数已突破32万,周下载量超过165万次,全球部署实例超过284万个。然而,就在它快速走红的同时,国家网络安全通报中心发布了重磅预警:大量暴露于互联网的OpenClaw资产存在重大安全风险。
作为IT从业者,你在享受这款工具带来效率提升的同时,是否真正了解它背后的安全隐患?
一、爆发式增长:OpenClaw到底有多火?
先看一组来自官方和权威机构的数据:
根据GitHub官方统计,截至2026年3月13日,OpenClaw主仓库Star数已达323,741个,Fork数59,840个,贡献者超过1,177人。在npm包管理平台上,其周下载量高达165.7万次。
更值得关注的是,工信部国家信息安全漏洞共享平台(NVDB)监测数据显示,全球活跃的OpenClaw互联网资产已超过20万个,其中境内活跃资产约2.3万个,主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。
清华大学发布的《OpenClaw深度研究报告》显示,ClawHub技能市场已有超过18,142个技能插件,技能总下载量超过1,340万次,日均新增技能约100个。
这些数据背后,是OpenClaw强大的自动化任务处理能力与开放式插件生态带来的吸引力。它能够通过AI智能体自动完成代码编写、文件操作、系统运维等任务,大幅提升开发效率。
然而,正是这种"开放"的特性,埋下了安全隐患的种子。
二、权威通报:五大安全风险不容忽视
国家网络与信息安全信息通报中心在预警通报中,明确指出了OpenClaw存在的五大安全风险:
▐ 1. 架构设计缺陷多,层层皆可破
OpenClaw采用多层架构设计,但每层都存在设计缺陷:
- IM集成网关层:可被攻击者伪造消息绕过身份认证
- 智能体层:可被多轮对话修改AI智能体行为模式
- 执行层:与操作系统直接交互,存在被完全控制风险
- 产品生态层:遭投毒的恶意技能插件可批量感染用户设备
简单来说,攻击者可以从任意一层切入,逐步渗透整个系统。
▐ 2. 默认配置风险高,公网暴露广
这是最容易被忽视的风险。OpenClaw默认绑定0.0.0.0:18789地址,这意味着它允许所有外部IP地址访问。更危险的是,远程访问无需账号认证,API密钥和聊天记录等敏感信息采用明文存储。
监测数据显示,OpenClaw公网暴露比例高达85%。这意味着什么?任何人只要知道你的IP地址和端口号,就可以远程访问你的OpenClaw实例,读取你的聊天记录、获取你的API密钥,甚至控制你的服务器。
▐ 3. 高危漏洞数量多,利用难度低
OpenClaw历史披露漏洞多达258个。仅近期暴露的82个漏洞中,就包括:
- 超危漏洞:12个
- 高危漏洞:21个
- 中危漏洞:47个
- 低危漏洞:2个
这些漏洞以命令注入、代码注入、路径遍历和访问控制漏洞为主,利用难度普遍较低。对于有一定技术能力的攻击者来说,利用这些漏洞几乎是"手到擒来"。
▐ 4. 供应链投毒比例高,生态不安全
这是最令人担忧的问题。针对ClawHub的3,016个技能插件分析发现,336个插件包含恶意代码,占比高达10.8%。
进一步分析显示:
- 17.7%的技能插件会获取不可信第三方内容
- 2.9%的技能插件会在运行时从外部端点动态获取执行内容
这意味着,攻击者可以通过修改远程服务器上的代码,随时改变AI智能体的执行逻辑。
▐ 5. 智能体行为不可控,管控难度大
OpenClaw的核心是AI智能体,它可以自动执行各种操作。但问题在于,智能体在执行指令过程中可能发生权限失控,导致越权执行任务并无视用户指令。
实际案例显示,失控的智能体可能出现:
- 删除用户数据
- 盗取用户信息
- 接管用户终端设备
这些行为可能给用户造成重大经济损失。
三、黑名单曝光:这些Skill千万别装
根据ClawHub安全团队和国家网络安全通报中心发布的黑名单,以下Skill已被确认存在恶意行为,应立即卸载:
高危Skill黑名单
| Skill名称 | 下载量 | 危害行为 | 风险等级 |
|---|---|---|---|
advanced-automation | 2300+ | 窃取API Key、上传凭证 | 高危 |
smart-workflow-pro | 1800+ | 上传工作区文件、数据泄露 | 高危 |
auto-deploy-helper | 1500+ | 执行任意系统命令、控制主机 | 高危 |
memory-booster | 1200+ | 读取OpenClaw记忆文件、隐私泄露 | 中危 |
quick-publish | 900+ | 未授权发布内容、伪造身份 | 中危 |
此外,KoiSecurity在2026年2月披露的ClawHavoc攻击事件显示,有341个恶意Skill影响了超过9000名用户。典型恶意Skill包括:
ethereum-gas-tracker:窃取加密货币钱包私钥youtube-summarizer-pro:上传浏览器历史、Cookiesystem-cleaner-ultimate:执行木马、远程控制api-key-manager:收集并外发所有平台API Keymemory-exporter:批量导出并上传OpenClaw记忆数据
GitHub官方也在2026年2月4日发布安全预警,披露了恶意Skill sakaen736jih/coding-agent-pekjzav3x,该Skill通过Base64编码的远程执行命令,下载并执行恶意代码。
绝对禁止安装的Skill类型
根据CNCERT和OpenClaw官方安全文档,以下类型的Skill存在极高风险:
- 要求输入密钥/API Key/密码但功能无关的Skill(如天气插件要云密钥)
- 描述含系统管理、执行命令、终端控制、Root权限的Skill
- 代码混淆、无开源、仅提供二进制包的Skill
- 动态加载外部代码、向未知IP发送数据的Skill
- 读取SSH/AWS/记忆文件、浏览器Cookie的Skill
四、安全建议:如何保护自己
面对这些安全风险,我们并非束手无策。国家网络安全通报中心给出了五点建议:
▐ 1. 及时升级版本
通过可信来源获取安装程序,关注官方安全公告,及时更新至最新版本,修复已披露安全漏洞。
▐ 2. 优化默认配置
这是最重要的防护措施:
- 仅在本地或内网地址运行,避免绑定公网地址或开放不必要端口
- 如使用反向代理,需配置身份认证、IP白名单和HTTPS加密
- 修改默认端口,避免使用默认的18789端口
▐ 3. 谨慎安装第三方插件
- 仅从ClawHub官方市场安装,拒绝第三方镜像、网盘、非官方仓库
- 核查作者:优先官方认证、高星、长期维护的开发者
- 使用官方安全审计工具:
openclaw skills audit
▐ 4. 加强账户认证管理
启用身份认证机制,设置高强度密码并定期更换,避免使用弱口令。
▐ 5. 限制智能体执行权限
对AI智能体的操作能力进行必要限制,仅允许执行白名单中的系统命令和操作权限,防止AI智能体被恶意指令利用后对终端设备造成实质性破坏。
五、写在最后
OpenClaw确实是一款强大的AI编程工具,它能够显著提升开发效率,这也是它能够在短时间内获得如此多关注的原因。但技术永远是一把双刃剑,在享受便利的同时,我们必须保持警惕。
如果你已经在使用OpenClaw,建议立即检查:
1. 是否暴露在公网?如果是,建议调整配置
2. 是否安装了黑名单中的Skill?如果是,立即卸载并更换相关凭证
3. 是否开启了身份认证?如果没有,立即设置
