夜雨聆风一、 生态威胁概览
OpenClaw 作为当前最活跃的开源 AI Agent 框架,其核心矛盾在于“极高的系统操作权限”与“脆弱的生态信任体系”之间的脱节,即:
①资产暴露面: 全球超过 23 万个互联网暴露实例(以中美为主)。
②攻击趋势: 从简单的代码注入转向语义级攻击(利用 LLM 逻辑漏洞控制宿主机)。
目前主要受害者包括: 缺乏隔离环境的个人开发者、内网部署且未加固的企业测试环境。
二、 核心攻击向量分析
(1)供应链投毒:恶意 Skill 插件
攻击者通过发布功能诱人的第三方技能包(Skills),并在其中埋伏后门:
①技术手段: 利用 .py 脚本执行混淆后的 Base64 载荷,或通过 SVG 图像隐写术触发 XSS。
②后果: 攻击者可直接读取宿主机的 SSH 密钥、浏览器 Cookie 或进行勒索加密。
(2)间接提示词注入
这是 Agent 特有的“逻辑病毒”,攻击者无需直接连接你的电脑,只需在网页或文档中埋下特定指令,步骤如下:
用户让 OpenClaw 总结网页 → OpenClaw 读取到隐藏指令→指令覆盖系统提示词 →执行恶意动作(如:发送敏感文件给攻击者)
(3)WebSocket 劫持与 RCE
OpenClaw 默认通信协议存在的严重设计缺陷:
①漏洞本质: Openclaw缺乏来源校验,允许恶意网页通过浏览器直接向本地运行的 OpenClaw 发送控制命令。
②影响: 造成“点击即入侵”。
三、 风险等级评估
| 风险项 | 严重程度 | 触发难度 | 影响范围 |
| 容器逃逸/物理机直接运行 | 极高 (Critical) | 低 | 全系统权限丢失 |
| 恶意 Skill 投毒 | 高 (High) | 中 | 特定数据/身份信息窃取 |
| 间接注入攻击 | 中 (Medium) | 极低 | 意外执行误操作/数据外泄 |
四、 针对性工程防御规范
(1)环境治理:强制隔离原则
①禁止物理机直连: 建议使用 Docker 或轻量化虚拟机运行。
②资源配额: 限制容器的 CPU与内存,防止被用于挖矿。
③网络白名单: 仅允许访问必要域名,严格禁止访问 192.168.x.x 等内网段。
(2)执行加固:人机协同
①动作确认机制: 修改 config.yaml,确保 confirm_before_action: true。
②敏感动作管控: 建立敏感操作黑名单(如 rm, curl | bash, cat ~/.ssh/*),检测到此类指令时强制熔断并人工介入。
(3)Skill 安全审计标准
①静态审查: 凡是涉及 subprocess 或 os.system 的 Skill 必须进行代码逐行审计。
②动态沙箱: 在独立的实验性容器中测试新 Skill 的网络请求行为。
五、 总结与建议
OpenClaw 的便捷性源于其强大的系统交互能力,但也正是其最危险的弱点。目前的防御重点应从“检测恶意代码”转向“限制智能体行为边界”,对于个人用户,建议迁移至 Docker 部署;对于企业用户,建议引入流量审计与动作准入控制。
