当AI Agent拥有系统权限:OpenClaw的安全风暴

一

深圳一名程序员在凌晨三点收到了一条短信。他的OpenClaw API密钥被盗，产生了高达1.2万元的Token账单。攻击者通过他未关闭的公网端口（默认端口18789），在几小时内刷掉了他一年的API预算。

这不是个例。超过2万个OpenClaw实例正在公网裸奔，RSAC 2026已经将"Agentic AI安全"列为头号议题。

OpenClaw的本质突破，是赋予AI系统级权限——它能删文件、发邮件、操作浏览器。但代价是什么？当你打开这扇门时，你也打开了潘多拉魔盒。

二

2026年2月，安全研究员发现了CVE-2026-25253。这是一个高危RCE（远程代码执行）漏洞，存在于OpenClaw核心网关组件Claw Gateway中，影响版本<=v2026.1.28。

攻击原理简单得可怕：攻击者构造一个恶意链接，诱导用户点击。用户点击后，token被送到攻击者服务器，攻击者就能连进本地gateway修改配置、调用高权限动作。整个过程只需要一次点击。

修复版本v2026.1.29已经发布，但问题在于：OpenClaw的更新是手动的。那些已经部署好的实例，有多少用户会主动更新？那些通过淘宝30块钱远程安装服务装好龙虾的人，甚至不知道有更新这回事。

更隐蔽的风险在供应链。ClawHub是OpenClaw的官方插件市场，目前有2000+的Skills插件。但ClawHub对发布者几乎零门槛——只需注册GitHub账号即可自由上架。这意味着任何人都可以发布插件，包括那些想窃取你账号、钱包信息的人。

假OpenClaw安装包已经在传播木马病毒。你以为是装了个AI助手，实际上是请了个小偷进门。

但这些问题不是技术失误，而是设计哲学的必然结果。

OpenClaw的核心卖点是"本地优先，数据在自己机器上，更安全"。这个承诺在RCE漏洞面前不堪一击。你的数据确实存在本地硬盘上，但攻击者可以通过漏洞远程控制你的电脑，这和存在云端被黑有什么区别？

更根本的矛盾在于权限设计。OpenClaw的能力边界在哪里？官方说"没有边界"——你想让它干什么，它就去干什么。它可以读写本地文件、执行系统命令、调用浏览器自动化。这是它的魅力所在，也是它的致命弱点。

安全加固与产品定位存在根本冲突。当你给龙虾穿上层层盔甲——强制认证、访问控制、行为审计——它还是那只"听话的小龙虾"吗？用户要的是"自动化一切"的便捷，安全要的是"限制一切"的谨慎。这两者如何兼得？

腾讯接入OpenClaw时的做法很有代表性。

微信ClawBot被关在笼子里：仅支持个人单点使用，不能加入微信群，24小时消息转发限制，不支持快捷命令，不能浏览模型列表。张军反复强调，插件不会自动化操作用户的微信，也不会获取单聊或群聊记录。

这是一种保守的安全策略，但它与OpenClaw的产品哲学是冲突的。OpenClaw之所以迷人，恰恰在于它的"无边界"。一只被层层防护的龙虾，还是OpenClaw吗？

更讽刺的是，这种保守并没有解决根本问题。CVE-2026-25253漏洞的攻击路径不依赖微信集成，它针对的是本地gateway。只要你的OpenClaw实例暴露在公网，无论有没有装微信插件，都可能被攻击。

安全正在成为这门生意的新利润点。

工信部网络安全威胁和漏洞信息共享平台已经连发预警，要求完善身份认证、数据加密、访问控制。在政务、金融等关键领域，安全服务费用占整体部署成本约三分之一。

这意味着什么？OpenClaw的产业链正在从"卖铲子"进化到"卖保险"。安装服务是一次性收入，但安全服务是持续性收入。那些帮用户配置防火墙、设置访问控制、监控异常行为的"安全顾问"，正在成为一个新职业。

但这解决不了根本问题。安全是一个系统工程，不是装个防火墙就能搞定的。OpenClaw的架构决定了它天生就是高风险的——它需要一个开放的端口来接收外部请求（默认18789），它需要执行系统命令来完成自动化任务，它需要访问你的文件系统来读写数据。

每一个"能力"，都是一个攻击面。

我试着想象一个更安全的OpenClaw会是什么样子。

它可能需要硬件级隔离——龙虾运行在一个独立的虚拟机或容器中，与主系统完全隔离。它可能需要行为白名单——只允许执行预设的安全操作，任何越界行为都被拦截。它可能需要零信任架构——每一次操作都需要二次确认，哪怕这会让"自动化"大打折扣。

但这样的OpenClaw，还是用户想要的那个OpenClaw吗？

用户要的是"像钢铁侠的贾维斯一样，一句话就能搞定一切"。安全专家要的是"每一步操作都可审计、可回滚、最小权限"。这两者的差距，不是技术能弥合的，是产品哲学的分歧。

RSAC 2026将"Agentic AI安全"列为头号议题，这不是偶然。

当AI Agent从"建议者"变成"执行者"，安全模型需要彻底重构。传统的网络安全关注的是"数据不被窃取"，但Agentic AI时代，我们需要关注的是"行为不被劫持"。

一个被盗的API密钥，不只是经济损失，可能是你的邮箱被用来发钓鱼邮件，你的社交媒体被用来传播谣言，你的银行账户被用来洗钱。OpenClaw的系统级权限，让这种风险呈指数级放大。

深圳那个程序员的故事有个后续。他在社区发帖求助后，收到了几十条私信。有人教他怎么配置防火墙，有人推荐安全加固服务，还有人问他要不要买"OpenClaw安全保险"。

他最后选择了最简单粗暴的解决方案：拔掉网线，不用了。

这或许是最理性的选择。在OpenClaw的安全架构成熟之前，在ClawHub的审核机制建立之前，在用户对Agentic AI的风险有充分认知之前，让一只拥有系统权限的AI Agent住在你的电脑里，本身就是一场赌博。

而赌注，是你的整个数字生活。

https://clawfirewall.ai

一个轻量级的 AI Gateway，用于：