夜雨聆风中国国家知识产权局(CNIPA)今日发布OpenClaw风险警示,指出其默认安全配置薄弱,使用AI代理工具起草专利文件可能引发技术信息泄露、申请实质性不足及信誉受损等多重风险。
OpenClaw v2026.4.1正式发布,新增Bedrock Guardrails安全加固、/tasks任务看板、SearXNG内置搜索及macOS语音唤醒等功能,同时修复30+ Bug。
SlowMist发布《OpenClaw安全实践指南》,倡导从“主机静态防御”转向“Agentic Zero-Trust架构”,重点应对高权限自主AI代理的破坏性操作、提示注入和供应链投毒风险。
今日最核心的安全相关事件是中国国家知识产权局的官方风险警示。这是针对OpenClaw这类高权限AI代理工具的首次国家级明确警告,强调默认安全设置不佳可能直接导致敏感技术文件在专利起草过程中泄露或被篡改。该警示于今日(4月2日)通过官方渠道发布,并迅速在安全社区传播。
同时,OpenClaw官方今日推送v2026.4.1版本更新,明确加入Bedrock Guardrails安全加固模块,这是对过去数月多起RCE和权限提升漏洞的直接响应。
| GHSA/CVE | 严重性 | 类型 | 影响版本 | 修复版本 |
CVE-2026-34510 | 6.9 | |||
CVE-2026-33578 | 5.3 | |||
CVE-2026-33577 | 4.9 | <= 2026.3.24 |
社区与安全研究团队今日最关注的问题是以下三点:
默认配置高危+暴露面大:早期版本默认绑定0.0.0.0:18789端口,导致数万实例公网暴露;gatewayUrl未严格校验WebSocket来源,浏览器一键点击即可完成令牌窃取与RCE。
ClawHub供应链投毒:已发现数百至800+恶意Skill(含crypto窃取、axios依赖污染),攻击者通过“恶意提示+已审批Skill”实现间接执行,无需传统0day。
Agentic特性放大攻击面:提示注入(70%+成功率)、沙箱逃逸、环境变量注入、权限作用域验证缺失等,使OpenClaw从“生产力工具”变为“高权限持久化后门”。SlowMist指南强调需转向Zero-Trust:每条执行均需显式审批+容器隔离。
这些分析与NVIDIA NemoClaw企业安全层、MITRE ATLAS映射及多家安全厂商报告高度一致,社区共识是“开源速度快于安全补丁”。
PART 05 立即行动建议
立即升级:若仍在使用原版OpenClaw,升级至最新稳定版本(2026.3.28或更高),优先采用NemoClaw单命令部署(支持本地/云/RTX)。
强制隔离:Docker/container运行,禁用管理员权限,仅授权必要目录;管理端口(默认18789)绝不暴露公网,用VPN/反向代理访问。
技能与提示安全:仅用官方/验证skill,安装Skill Vetter扫描器;禁用自动技能更新;所有密钥用环境变量/密钥管理器,绝不明文存prompt。
操作确认:开启二次确认(删除、发邮件等不可逆操作);设置Token/消费上限;开启debug日志实时监控。
额外防护:禁用自动网页浏览或严格沙箱;企业/政府用户参考CNCERT建议,避免办公电脑直接运行;测试环境与生产彻底隔离。
立即执行以上措施,可将风险降至可控水平。持续关注GitHub advisories与NVD,OpenClaw安全仍处于“快速迭代补丁”阶段。
