夜雨聆风背景:一个 AI Agent 的爆炸式崛起
OpenClaw[1](曾先后命名为 Clawdbot、Moltbot)是由开发者 Peter Steinberger 创建的开源自托管 AI Agent 平台。用户在本地运行一个名为 Gateway 的常驻进程,连接 Claude、ChatGPT 等大模型,通过 WhatsApp、Telegram、Discord 等消息渠道与 Agent 交互,并授权其执行 Shell 命令、读写文件、浏览网页、发送邮件、管理日历等真实世界操作。
2026 年 1 月,OpenClaw 以 GitHub 历史上最快速度之一冲上 180,000 stars,两周内成为全球最热的开源项目。然而,极速增长的背后是同样极速暴露的安全隐患:Cisco 将其称为"网络安全灾难"[2],Gartner 将其定性为"对 Agentic AI 的危险预演",CrowdStrike 发布专项检测指南[3]。
OpenClaw 的安全危机并非源于单一漏洞,而是代表了 AI Agent 这一新型计算范式与传统安全边界之间系统性摩擦的集中爆发。
现状:2026 年初的连环危机
危机时间线
2026 年 1 月 27–29 日:ClawHavoc 供应链投毒
攻击者在 ClawHub 上批量上传 335 个精心伪装的恶意 Skill,使用 solana-wallet-tracker、youtube-summarize-pro 等专业外观名称,以 ClickFix 风格的社会工程学诱导用户执行外部命令,在 macOS 上植入 Atomic Stealer(AMOS)窃密木马,在 Windows 上安装键盘记录器和反向 Shell。Koi Security 命名此次行动为 ClawHavoc[4],确认恶意 Skill 总数 341 个,占注册表 2,857 个 Skill 的约 12%。
2026 年 1 月 30 日:CVE-2026-25253 一键 RCE(CVSS 8.8)
OpenClaw Control UI 盲目读取 URL 参数 gatewayUrl 并自动连接,用户只需访问一个恶意网页,认证令牌即被窃取,攻击者获得 Gateway 完整控制权。该漏洞对绑定到 localhost 的实例同样有效(攻击链由受害者浏览器主动发起)。补丁在报告后不足 24 小时内随 2026.1.29 版本发布。详见 SonicWall 技术分析[5] 与 ProArch 漏洞说明[6]。
2026 年 1 月 31 日:40,000+ 实例暴露互联网
SecurityScorecard STRIKE[7] 扫描发现超过 40,000 个实例直接暴露公网,63% 可被远程利用,12,000+ 实例确认存在 RCE 风险。默认安装无需认证即可访问 Gateway。
2026 年 2 月:规模持续扩大
Bitdefender[8] 标记近 900 个恶意 Skill,约占总量 20% Snyk ToxicSkills 研究[9]发现 36% 的 Skill 存在安全缺陷,76 个含确认恶意载荷 Wiz 研究[10]发现 Moltbook Supabase 数据库泄露 150 万 API Token 和 35,000 个邮箱地址 OpenClaw 与 VirusTotal 达成合作,开始对 Skill 进行意图分析
2026 年 3 月(最新动态)
ClawSecure 审计[11]显示恶意 Skill 增至 539 个(约 18.7%) CVE-2026-22169[12] 披露safeBins白名单绕过漏洞,影响2026.2.22之前所有版本,已在2026.2.24修复Deutsche Telekom Security、荷兰数据保护局、韩国监管机构相继发布安全警告
核心攻击面
| Skill 供应链 | ||
| Prompt Injection | ||
| Memory 污染 | ||
| 基础设施暴露 |
加固方向:多层纵深防御
OpenClaw 的安全加固不是单一配置项的调整,而是需要覆盖网络层、运行时层、Skill 层、Agent 认知层的完整防御矩阵。
1. 网络隔离(最高优先级)
将 Gateway 严格绑定到 localhost,通过 SSH 隧道或 Tailscale 访问,绝不暴露于公网启用强认证令牌( 2026.1.29起已强制要求)白名单出口流量,拒绝到内网 CIDR 的回环访问,防止 SSRF
2. 容器化隔离
seccomp-BPF 过滤(仅约 50 个系统调用) 非 root 用户运行,只读根文件系统 不挂载宿主机 Docker Socket,仅挂载 Agent 实际需要的目录
容器化是对抗恶意 Skill 逃逸的核心防线。即便 Skill 突破 OpenClaw 沙箱,仍被限制在容器边界内。
3. Skill 供应链管理
安装前用 skillvet、clawscan、VirusTotal 意图分析扫描拒绝含 curl | bash、外部二进制下载前置条件的 Skill固定版本,避免自动升级带入新恶意载荷 建立 SHA256 哈希基线,定期校验完整性
慢雾发布的 openclaw-security-practice-guide[13] 提供了完整的 Skill 安装审计协议,可作为参考基准。
4. 工具权限最小化
仅在业务需要时启用 Shell 执行、浏览器控制、文件写入等高危工具 不可逆操作强制 Human-in-the-Loop 确认 红线(绝不执行)/ 黄线(需人工确认)分级控制
5. 密钥与凭证保护
通过环境变量注入,禁止明文写入配置文件 使用 Keychain 或独立密钥管理服务替代默认明文存储 生产环境 90 天、开发环境 30 天轮换;历史提交含 Key 立即轮换
6. Prompt Injection 防御
对所有外部消费内容进行正则审计 安装 prompt-guard、agent-hardening防注入 Skill注意:同 UID 下的权限收窄无法阻止恶意代码读取同用户资源,彻底隔离需独立用户 + 容器化
7. 持续审计与响应
夜间自动巡检覆盖(慢雾安全实践指南 13 项核心指标):
Gateway 存活、版本、配置哈希完整性 进程/网络异常、磁盘新增大文件 凭证明文 DLP 扫描 Skill/MCP 哈希基线 diff ~/.openclaw/增量 Git commit 推送私有仓库
未来加固趋势
| 企业级认证 | ||
| Skill 沙箱隔离 | ||
| 实时威胁情报 | clawsec-feed | |
| HitL 标准化 | AGENTS.md 自定义规则 | |
| Multi-Agent 安全 | ||
| AI 认知层防御 |
结语
OpenClaw 的安全危机是 Agentic AI 时代的一次预演。AI Agent 的价值在于广泛的系统权限和自主执行能力,而这恰恰也是它成为高价值攻击目标的根本原因。Palo Alto Networks 将其总结为"致命三角":
访问私密数据 × 暴露于不可信内容 × 具备代表用户执行工具的能力
当前没有任何配置能使 OpenClaw"完全安全",官方文档本身也明确声明这一点。但通过网络隔离、容器化、Skill 审计、权限最小化、持续巡检的多层纵深防御,可以将风险控制在可接受范围内。
慢雾发布的 openclaw-security-practice-guide[14] 代表了目前社区最完整的 Agent 侧防御方案,其核心范式——从"基于主机的静态防御"转向"Agentic Zero-Trust Architecture"——将是 AI Agent 安全加固的长期主线。
参考资料
slowmist/openclaw-security-practice-guide[15] — 慢雾 OpenClaw 安全实践指南(Agent 驱动部署) ClawHavoc: Analysis of Large-Scale Poisoning Campaign[16] — 安天对 ClawHavoc 供应链投毒事件的技术分析 CVE-2026-25253: OpenClaw One-Click RCE[17] — ProArch 对一键 RCE 漏洞的详细说明 From Token Theft to Full System Takeover[18] — SonicWall 对 CVE-2026-25253 的技术深度分析 CVE-2026-22169: safeBins Allowlist Bypass RCE[19] — SentinelOne 漏洞数据库 OpenClaw: The AI Agent Security Crisis Unfolding Right Now[20] — Reco 对 2026 年初连环危机的完整时间线梳理 OpenClaw Went from Viral AI Agent to Security Crisis in Just Three Weeks[21] — AdminByRequest 危机全景综述 ClawHavoc Malware Found in 539 OpenClaw Skills[22] — ClawSecure 3 月最新审计报告 OpenClaw Security Risks & Best Practices 2026[23] — PacGenesis 企业安全团队实践指南 OpenClaw Security Engineer's Cheat Sheet[24] — Semgrep 安全工程师速查手册 OpenClaw Hardening for MSPs[25] — Guardz 面向 MSP 的加固配置详解 Technical Best Practices to Securely Deploy OpenClaw[26] — Repello AI 技术部署清单 openclaw/SECURITY.md[27] — OpenClaw 官方安全策略文档 openclaw-security-monitor[28] — 59 项自动化检测脚本 + IOC 数据库 + Web 仪表板 Personal AI Agents like OpenClaw Are a Security Nightmare[29] — Cisco Talos 安全研究报告
引用链接
[1]OpenClaw: https://github.com/openclaw/openclaw
[2]Cisco 将其称为"网络安全灾难": https://blogs.cisco.com/security/personal-ai-agents-like-openclaw-are-a-security-nightmare
[3]CrowdStrike 发布专项检测指南: https://www.crowdstrike.com/en-us/blog/detecting-and-preventing-malicious-openclaw-activity/
[4]Koi Security 命名此次行动为 ClawHavoc: https://www.antiy.net/p/clawhavoc-analysis-of-large-scale-poisoning-campaign-targeting-the-openclaw-skill-market-for-ai-agents/
[5]SonicWall 技术分析: https://www.sonicwall.com/blog/openclaw-auth-token-theft-leading-to-rce-cve-2026-25253
[6]ProArch 漏洞说明: https://www.proarch.com/blog/threats-vulnerabilities/openclaw-rce-vulnerability-cve-2026-25253
[7]SecurityScorecard STRIKE: https://blog.cyberdesserts.com/openclaw-malicious-skills-security/
[8]Bitdefender: https://www.adminbyrequest.com/en/blogs/openclaw-went-from-viral-ai-agent-to-security-crisis-in-just-three-weeks
[9]Snyk ToxicSkills 研究: https://blog.cyberdesserts.com/openclaw-malicious-skills-security/
[10]Wiz 研究: https://blog.cyberdesserts.com/openclaw-malicious-skills-security/
[11]ClawSecure 审计: https://www.registerguard.com/press-release/story/44494/clawhavoc-malware-found-in-539-openclaw-skills-clawsecure-reports/
[12]CVE-2026-22169: https://www.sentinelone.com/vulnerability-database/cve-2026-22169/
[13]openclaw-security-practice-guide: https://github.com/slowmist/openclaw-security-practice-guide
[14]openclaw-security-practice-guide: https://github.com/slowmist/openclaw-security-practice-guide
[15]slowmist/openclaw-security-practice-guide: https://github.com/slowmist/openclaw-security-practice-guide
[16]ClawHavoc: Analysis of Large-Scale Poisoning Campaign: https://www.antiy.net/p/clawhavoc-analysis-of-large-scale-poisoning-campaign-targeting-the-openclaw-skill-market-for-ai-agents/
[17]CVE-2026-25253: OpenClaw One-Click RCE: https://www.proarch.com/blog/threats-vulnerabilities/openclaw-rce-vulnerability-cve-2026-25253
[18]From Token Theft to Full System Takeover: https://www.sonicwall.com/blog/openclaw-auth-token-theft-leading-to-rce-cve-2026-25253
[19]CVE-2026-22169: safeBins Allowlist Bypass RCE: https://www.sentinelone.com/vulnerability-database/cve-2026-22169/
[20]OpenClaw: The AI Agent Security Crisis Unfolding Right Now: https://www.reco.ai/blog/openclaw-the-ai-agent-security-crisis-unfolding-right-now
[21]OpenClaw Went from Viral AI Agent to Security Crisis in Just Three Weeks: https://www.adminbyrequest.com/en/blogs/openclaw-went-from-viral-ai-agent-to-security-crisis-in-just-three-weeks
[22]ClawHavoc Malware Found in 539 OpenClaw Skills: https://www.registerguard.com/press-release/story/44494/clawhavoc-malware-found-in-539-openclaw-skills-clawsecure-reports/
[23]OpenClaw Security Risks & Best Practices 2026: https://pacgenesis.com/openclaw-security-risks-what-security-teams-need-to-know-about-ai-agents-like-openclaw-in-2026/
[24]OpenClaw Security Engineer's Cheat Sheet: https://semgrep.dev/blog/2026/openclaw-security-engineers-cheat-sheet
[25]OpenClaw Hardening for MSPs: https://guardz.com/blog/openclaw-hardening-for-msps/
[26]Technical Best Practices to Securely Deploy OpenClaw: https://repello.ai/blog/technical-best-practices-to-securely-deploy-openclaw
[27]openclaw/SECURITY.md: https://github.com/openclaw/openclaw/blob/main/SECURITY.md
[28]openclaw-security-monitor: https://github.com/adibirzu/openclaw-security-monitor
[29]Personal AI Agents like OpenClaw Are a Security Nightmare: https://blogs.cisco.com/security/personal-ai-agents-like-openclaw-are-a-security-nightmare
