夜雨聆风我国官方今日正式发布OpenClaw安全使用指导,强调隔离部署、权限最小化与供应链防护。
OpenClaw技能市场12%-20%技能含恶意代码(ClawHavoc攻击链),供应链风险已成主流隐患。
近期多项高危CVE(授权绕过、路径绕过、TOCTOU RCE)获最新补丁,社区呼吁立即更新并严格隔离。
中国国家计算机网络应急技术处理协调中心(CNCERT/CC)与网络安全协会于3月23日(周日发布、今日广泛报道)联合发布《OpenClaw安全使用指导》。这是国家级监管首次针对这一爆红开源AI代理工具发出专项指引,核心内容包括:
普通用户必须在专用设备、虚拟机或容器中安装,严格环境隔离,禁止安装在日常工作机上;
禁止以管理员/超级用户权限运行;
禁止在OpenClaw环境中存储或处理私密/敏感数据;
必须及时更新至最新版本。
云服务商需进行基线加固、部署防护能力、强化供应链与数据安全。企业与开发者则需遵循最小权限与零信任原则。该指导直接回应OpenClaw快速普及带来的系统接管、密钥泄露、恶意插件等现实风险,是今日最核心的安全事件。
开发者@ k_aik_ou今日在Qiita发布长文,披露Koi Security审计ClawHub 2857个技能发现341个(约12%)含恶意代码,Bitdefender更大范围分析显示约20%;绝大多数与ClawHavoc协调攻击相关,携带AMOS窃密器、RAT、MCP后门等。 官方账号密集转发指导内容,引发“安全梦魇”“影子AI威胁”讨论。 同时,GhostClaw假npm包窃取Keychain/SSH/助记词的警告也在传播。OpenClaw供应链攻击已从“单个漏洞”升级为“生态级污染”,成为今日热度峰值。
| GHSA/CVE | 严重性 | 类型 | 影响版本 | 修复版本 |
CVE-2026-32051 | 8.7 | |||
CVE-2026-22180 | 4.8 | 路径限制绕过 | ||
CVE-2026-27670 | 5.8 |
社区与安全研究团队今日最关注的问题是以下三大技术点:供应链恶意技能污染:ClawHub审查机制缺失导致12%-20%技能携带base64 dropper、MSI安装器、bore.pub隧道。ClawHavoc战役利用OAuth token与持久内存,实现Slack/Gmail/Drive横向移动。社区呼吁强制`openclaw security audit --deep`并隔离权限。
WebSocket与审批机制缺陷:CVE-2026-25253核心链路(query参数gatewayUrl无origin验证 + WebSocket绕CORS)+ 近期TOCTOU/授权不一致,说明OpenClaw“信任本地连接”设计在浏览器环境中极易被劫持(ClawJacked同类风险)。
路径/文件写绕过与隔离失效:browser output、ZIP race、stageSandboxMedia路径遍历等,暴露“sandbox”实际保护力不足。社区共识:必须结合`settings.json`硬化(bind=127.0.0.1、workspaceOnly=true、corsOrigins白名单、read-only Docker)+ VM/容器才能真正降低风险。整体观点是“OpenClaw已从极客玩具变成企业基础设施,安全滞后于采用速度”。
PART 05 立即行动建议
立即升级:若仍在使用原版OpenClaw,升级至最新稳定版本(至少2026.3.7或更高),优先采用NemoClaw单命令部署(支持本地/云/RTX)。
强制隔离:Docker/container运行,禁用管理员权限,仅授权必要目录;管理端口(默认18789)绝不暴露公网,用VPN/反向代理访问。
技能与提示安全:仅用官方/验证skill,安装Skill Vetter扫描器;禁用自动技能更新;所有密钥用环境变量/密钥管理器,绝不明文存prompt。
操作确认:开启二次确认(删除、发邮件等不可逆操作);设置Token/消费上限;开启debug日志实时监控。
额外防护:禁用自动网页浏览或严格沙箱;企业/政府用户参考CNCERT建议,避免办公电脑直接运行;测试环境与生产彻底隔离。
立即执行以上措施,可将风险降至可控水平。持续关注GitHub advisories与NVD,OpenClaw安全仍处于“快速迭代补丁”阶段。
