谨防“被钳制”:OpenClaw 漏洞

OpenClaw是一款开源的人工智能智能体，它将自动化提升到了新的高度。如今，那些大型科技公司在智能助手产品中煞费苦心推出的功能，用户都可以手动配置，而无需被锁定在某个特定的生态系统内。此外，用户还能完全自主开发功能和自动化流程，并与同好们分享。在撰写这篇博客文章时，得益于OpenClaw在业余爱好者和不法分子中广受欢迎，其预置技能目录中已有约6000种场景。不过，称之为“目录”有些勉强：技能上传后没有任何分类、筛选或审核机制。       Clawdbot/Moltbot/OpenClaw由奥地利开发者彼得·施泰因贝格尔（Peter Steinberger）创建，他也是PSPDFkit背后的核心人物。OpenClaw的架构常被描述为“可自我破解”：该智能体将配置、长期记忆和技能存储在本地Markdown文件中，从而能够随时自我改进和重启。2025年12月，彼得推出Clawdbot后，它迅速走红：互联网上充斥着用户上传的Mac mini堆叠照片、配置截图和智能体回复。尽管彼得本人指出，树莓派就足以运行该服务，但大多数用户还是被其与苹果生态系统无缝集成的承诺所吸引。

当OpenClaw在社交媒体上引发热潮时，网络安全专家们却愁眉不展：这款人工智能助手内部潜藏的漏洞数量之多，甚至超出了最离谱的设想。

如前所述，OpenClaw技能目录因完全缺乏审核管理，已然沦为恶意代码滋生的温床。在不到一周的时间里，从1月27日到2月1日，超过230个恶意脚本插件在ClawHub和GitHub上发布，并被分发给OpenClaw用户，下载次数达数千次。所有这些技能都采用了社会工程学策略，并配有详尽的文档说明，以营造出合法合规的假象。      然而，现实情况要严峻得多。这些脚本——它们伪装成交易机器人、财务助手、OpenClaw技能管理系统和内容服务——以名为“AuthTool”的必要实用工具为幌子，在其中暗藏了窃密程序。一旦安装，恶意软件便会窃取文件、加密货币钱包浏览器扩展程序、助记词、macOS钥匙串数据、浏览器密码、云服务凭证等诸多信息。    为了将窃密程序植入系统，攻击者采用了ClickFix技术，即受害者按照“安装指南”手动运行恶意软件，实际上是自己感染了自己。

尽管我们已经指出了诸多风险，但如果你热衷于尝试新事物，仍想在自己的设备上摆弄OpenClaw，我们强烈建议你严格遵守以下规则。 • 使用一台专用的备用电脑或虚拟专用服务器（VPS）进行实验。切勿将OpenClaw安装在你日常使用的主电脑或笔记本电脑上，更别提安装在工作用的机器上了。 • 通读所有OpenClaw文档。 • 选择大型语言模型时，选用Claude Opus 4.5，因为就目前而言，它在识别提示词注入攻击方面表现最佳。 • 对开放端口采取“仅允许列表”策略，并在网络层面隔离运行OpenClaw的设备。 • 为连接到OpenClaw的任何即时通讯应用设置一次性账号。 • 定期通过运行“security audit --deep”命令来审计OpenClaw的安全状态。