夜雨聆风HKCERT四月通讯以OpenClaw为封面话题,警示其高权限AI代理平台的技能供应链与假安装程序风险,已成为企业级安全焦点。
ClawHub恶意技能超340个,Snyk最新分析显示近4000个技能中7.1%存在凭证明文泄露,叠加30,000+实例公网暴露,供应链攻击威胁持续发酵。
CVE-2026-34503等近期WebSocket会话漏洞及GitHub昨日多项安全公告引发社区热议,强调已撤销凭证仍可能维持未授权访问,补丁与零信任配置迫在眉睫。
截至4月3日凌晨,OpenClaw(前身为Clawdbot/Moltbot)未披露全新重大安全事件或0-day漏洞,但4月1-2日发布的HKCERT四月通讯、Redwerk安全最佳实践指南及GitHub多项安全公告(包括GHSA系列中度风险通告)仍在社区持续发酵,成为今日最核心讨论焦点。HKCERT特别发布博客《OpenClaw快速采用暴露高权限AI代理平台的技能供应链与假安装程序风险》,指出该工具病毒式流行虽带来便利,但高权限设计导致数据外泄、恶意技能注入等连锁风险,已引发工信部等官方关注。今日多条帖子也呼应Vitalik Buterin等观点,强调“1/7技能可能窃取数据”,企业环境下的持久内存与自治执行正成为新攻击面。
| GHSA/CVE | 严重性 | 类型 | 影响版本 | 修复版本 |
CVE-2026-34425 | 5.3 | |||
CVE-2026-34426 | 6.9 |
社区与安全研究团队今日最关注的问题是以下四点:
技能供应链投毒:ClawHub超340个恶意技能,Snyk抽样3984个技能中7.1%含明文凭证泄露、窃取器、后门或数据外渗payload。看似无害的工具实为“隐形恶意软件”。
高权限自治代理的风险放大:OpenClaw可访问文件系统、API密钥、Shell与消息平台,持久内存使其成为“高价值情报库”。间接prompt injection(通过邮件/消息植入)可实现无感知数据外泄(CrowdStrike案例)。
会话与身份管理薄弱:WebSocket自动连接+令牌无绑定验证,导致浏览器恶意页面即可劫持本地实例(CVE-25253经典链)。已撤销令牌仍可能存活(CVE-2026-34503)。
公网暴露与企业适配问题:全球超30,000实例直接暴露互联网;Microsoft等机构警告,传统工作站难以承载此类“自治可变状态”代理,易引发凭证泄露与横向移动。
核心共识:传统LLM安全(输出控制)已失效,必须转向基础设施层隔离、权限最小化与实时监控。
PART 05 立即行动建议
立即升级:若仍在使用原版OpenClaw,升级至最新稳定版本(2026.3.28或更高),优先采用NemoClaw单命令部署(支持本地/云/RTX)。
强制隔离:Docker/container运行,禁用管理员权限,仅授权必要目录;管理端口(默认18789)绝不暴露公网,用VPN/反向代理访问。
技能与提示安全:仅用官方/验证skill,安装Skill Vetter扫描器;禁用自动技能更新;所有密钥用环境变量/密钥管理器,绝不明文存prompt。
操作确认:开启二次确认(删除、发邮件等不可逆操作);设置Token/消费上限;开启debug日志实时监控。
额外防护:禁用自动网页浏览或严格沙箱;企业/政府用户参考CNCERT建议,避免办公电脑直接运行;测试环境与生产彻底隔离。
立即执行以上措施,可将风险降至可控水平。持续关注GitHub advisories与NVD,OpenClaw安全仍处于“快速迭代补丁”阶段。
