夜雨聆风# 养龙虾前,先看看官方修了哪些安全漏洞
"龙虾"火了,但没人告诉你它修了多少个安全漏洞。
OpenClaw(网友戏称"龙虾")近期因功能强大、开源免费迅速走红。然而,在大家热情"养殖"之际,我翻了翻它的官方更新日志,把真实发生过的安全漏洞整理出来——那些记录,比任何抽象的风险提示都更直观。
以下内容均来自OpenClaw官方GitHub公开的更新日志,每条均有对应的PR编号可供核查。
一、审批按钮被任何人都能点——你以为在保护你,其实没有
v2026.4.15更新记录:
"Security/approvals: redact secrets in exec approval prompts so inline approval review can no longer leak credential material in rendered prompt content."(#61077, #64790)
v2026.4.12:
"Security/Approval: prevent empty approver list from granting explicit approval authorization."(#65714)
OpenClaw执行危险操作前会弹出审批请求,设计初衷是让用户确认。但上述两个漏洞说明:一是审批弹窗里会把密钥明文显示出来,让旁人看到;二是当审批人列表为空时,任何人都能通过审批——保护机制形同虚设。
二、Shell注入与环境变量劫持
v2026.4.7:
"Host exec/env sanitization: block dangerous Java, Rust, Cargo, Git, Kubernetes, cloud credential, config-path, and Helm env overrides so host-run tools cannot be redirected to attacker-chosen code, config, credentials, or repository state."(#59119, #62002, #62291)
v2026.4.12:
"Security/Shell: broaden shell-wrapper detection and block env-argv assignment injection."(#65717)
这两条修复说明,此前攻击者可以通过构造特定的环境变量,将AI执行的命令重定向到攻击者控制的代码、配置或凭证路径。简单来说,你以为AI在执行你的命令,它实际上可能在执行别人安排好的代码。
三、SSRF:用你的机器去攻击其他机器
SSRF(服务端请求伪造)是出现频率最高的漏洞类型,几乎每个版本都有相关修复:
v2026.4.7:
"Network/fetch guard: drop request bodies and body-describing headers on cross-origin 307 and 308 redirects by default, so attacker-controlled redirect hops cannot receive secret-bearing POST payloads from SSRF-guarded fetch flows."(#62357)
v2026.4.10:
"Browser/security: tighten browser and sandbox navigation defenses across strict SSRF defaults, hostname allowlists, interaction-driven redirects, subframes, CDP discovery..."(#61404等)
v2026.4.14:
"Browser/SSRF: restore hostname navigation under the default browser SSRF policy while keeping explicit strict mode reachable from config."(#66386)
SSRF的危害在于:攻击者可以操控AI向内网地址或云服务商的元数据接口(如AWS的169.254.169.254)发起请求,进而窃取实例凭证、探测内网结构。这类漏洞对部署在云服务器上的用户尤其危险。
四、Webhook签名缺失——冒充任何人向AI下指令
v2026.4.14:
"Feishu/webhook: harden the webhook transport... refuse to start the webhook transport without an encryptKey, reject unsigned requests when no key is present instead of accepting them."(#66707)
v2026.4.2:
"Webhooks/secret comparison: replace ad-hoc timing-safe secret comparisons across BlueBubbles, Feishu, Mattermost, Telegram, Twilio, and Zalo webhook handlers with the shared safeEqualSecret helper and reject empty auth tokens in BlueBubbles."(#58432)
当webhook没有签名验证时,任何知道你接口地址的人都可以伪造消息,以你的名义向AI下达指令。修复前,飞书、Telegram、Mattermost等多个平台的webhook接入均存在这个问题。
五、配置文件可被AI自己篡改
v2026.4.14:
"Agents/gateway-tool: reject config.patch and config.apply calls from the model-facing gateway tool when they would newly enable any flag enumerated by openclaw security audit (for example dangerouslyDisableDeviceAuth, allowInsecureAuth...)."(#62006)
v2026.4.7:
"Gateway tool/exec config: block model-facing gateway config.apply and config.patch writes from changing exec approval paths such as safeBins, safeBinProfiles, safeBinTrustedDirs, and strictInlineEval."(#62001)
这两条很关键:修复之前,AI模型本身可以通过工具调用来修改OpenClaw的安全配置——包括禁用设备鉴权、关闭安全审计、修改命令许可列表。这意味着一个被恶意提示词操控的AI,可以悄悄解除自己的安全限制。
六、内部凭证泄露给用户可见界面
v2026.4.9:
"Gateway/chat: suppress exact and streamed ANNOUNCE_SKIP / REPLY_SKIP control replies across live chat updates and history sanitization so internal agent-to-agent control tokens no longer leak into user-facing gateway chat surfaces."(#51739)
v2026.4.12:
"Gateway/auth: blank the shipped example gateway credential in .env.example and fail startup when a copied placeholder token or password is still configured."(#64586)
第二条更直接:官方发现有大量用户直接使用了示例配置文件里的默认密钥(一个公开已知的字符串),于是改成了:如果检测到还在用示例密钥,直接拒绝启动。
七、跨会话权限污染
v2026.4.14:
"Auto-reply/queue: split collect-mode followup drains into contiguous groups by per-message authorization context... so queued items from different senders or exec configs no longer execute under the last queued run's owner-only and exec-approval context."(#66024)
这个漏洞影响多用户场景:来自不同发送者的排队消息,会在同一个权限上下文里被执行——也就是说,低权限用户的请求可能借用高权限用户刚刚完成的会话权限来执行。
普通用户怎么办
几条可操作的建议:
保持更新。 以上所有漏洞都已修复,但只在新版本里。不更新就是在主动维持漏洞状态。
不要用默认密钥。 安装完成后立即修改gateway访问密钥,不要保留.env.example里的示例值——新版本遇到示例密钥会直接拒绝启动,但旧版本不会。
不要把webhook开放给公网。 除非你清楚自己在做什么,否则webhook接入只在内网使用。
谨慎使用第三方安装服务。 购物平台上"上门部署龙虾"的服务,本质上是把所有配置文件和访问权限交给陌生人操作。安装完毕后你几乎无法验证是否留有后门。
龙虾好用,但用的人自己也得知道它曾经有过什么问题——这才是真正的安全意识。
况且这些已经公开的漏洞,对于低版本的龙虾来说风险还是挺高的,动动手转发给需要的人吧!
