作為2026年最火爆的開(kāi)源AI項(xiàng)目之一，OpenClaw 因其支持本地部署、自主文件操作、瀏覽器控制與任務(wù)自動(dòng)化等能力，在短短幾個(gè)月內(nèi)登頂 GitHub 開(kāi)源項(xiàng)目中獲星最多的軟件。因其Logo為紅色龍蝦，因此稱為 “小龍蝦”，已成為近期互聯(lián)網(wǎng)熱門話題。

隨著項(xiàng)目在全球范圍內(nèi)快速普及，其底層架構(gòu) “重功能、輕安全” 的設(shè)計(jì)隱患逐漸暴露。工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)已發(fā)布高危安全預(yù)警，指出該開(kāi)源 AI 智能體在默認(rèn)配置或配置不當(dāng)情況下存在較高安全風(fēng)險(xiǎn)。從可導(dǎo)致系統(tǒng)被完全接管的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞，到依托技能庫(kù)(ClawHub)發(fā)起的供應(yīng)鏈惡意軟件投遞攻擊，這只 “龍蝦” 引發(fā)的安全風(fēng)險(xiǎn)亟需重點(diǎn)關(guān)注。

OpenClaw先天性架構(gòu)

導(dǎo)致互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)暴露面

OpenClaw 的核心架構(gòu)由四部分構(gòu)成。第一，Gateway(網(wǎng)關(guān))，系統(tǒng)統(tǒng)一入口層，承擔(dān)流量調(diào)度、協(xié)議轉(zhuǎn)換和安全防護(hù)三重功能;第二，Agent(智能體)，具備自主決策能力的 AI 實(shí)體，融合感知、推理、規(guī)劃、執(zhí)行能力;第三，Skills(技能)，能力擴(kuò)展層，通過(guò)標(biāo)準(zhǔn)化接口向智能體提供擴(kuò)展能力;第四，Memory(記憶)，緩解大模型 “瞬時(shí)遺忘” 問(wèn)題，為 OpenClaw 提供時(shí)空一致性的認(rèn)知基礎(chǔ)。

然而，這種高度靈活的架構(gòu)設(shè)計(jì)在實(shí)際部署中衍生出了極其龐大的互聯(lián)網(wǎng)暴露面。由于許多用戶和開(kāi)發(fā)者為了追求全天候在線的“數(shù)字員工”體驗(yàn)，選擇將OpenClaw部署在云端，卻往往忽略了最基本的訪問(wèn)控制。在缺乏認(rèn)證或強(qiáng)隔離機(jī)制的情況下，這些節(jié)點(diǎn)無(wú)異于在公網(wǎng)上“裸奔”，攻擊者可以竊取API密鑰或執(zhí)行惡意命令。

截至3月初，allegro.earth公開(kāi)監(jiān)測(cè)數(shù)據(jù)顯示：公網(wǎng)直接暴露的OpenClaw實(shí)例超27萬(wàn)個(gè)，其中超5.3萬(wàn)個(gè)存在未授權(quán)訪問(wèn)漏洞，超10萬(wàn)個(gè)存在敏感信息泄露風(fēng)險(xiǎn)。

OpenClaw具有安全漏洞、供應(yīng)鏈投毒、模型自身三大類安全風(fēng)險(xiǎn)。

安全漏洞風(fēng)險(xiǎn)：

OpenClaw單月200+漏洞井噴增長(zhǎng)

除了部署不當(dāng)帶來(lái)的安全風(fēng)險(xiǎn)外，自2026年初起，OpenClaw安全漏洞頻發(fā)。根據(jù)GitHub Advisory Database 漏洞庫(kù)數(shù)據(jù)顯示，目前已經(jīng)確認(rèn)的漏洞總數(shù)已達(dá) 230余個(gè)。

其中，絕大多數(shù)漏洞（超200個(gè)）集中在今年2月爆發(fā)，包含遠(yuǎn)程代碼執(zhí)行（RCE）和認(rèn)證繞過(guò)在內(nèi)的嚴(yán)重及高危漏洞占比約44%。主要影響較大的漏洞類型如下表所示：

CVE-2026-25253剖析：一個(gè)鏈接如何串起Token竊取與遠(yuǎn)程命令執(zhí)行

其中最“出圈”的漏洞是CVE-2026-25253，影響v2026.1.24-1及之前的版本。攻擊者可以通過(guò)構(gòu)造惡意鏈接，誘使受害者點(diǎn)擊并設(shè)置惡意網(wǎng)關(guān)地址，從而竊取用戶的認(rèn)證Token，最終通過(guò)工具調(diào)用實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。

漏洞利用流程：

由于WebSocket 服務(wù)器接受來(lái)自任意 Origin 的連接，不受到跨域請(qǐng)求的限制，也就導(dǎo)致了跨站W(wǎng)ebSocket劫持(CSWSH)。因此攻擊者可以制作一個(gè)惡意頁(yè)面，受害者點(diǎn)擊后將網(wǎng)關(guān)地址設(shè)置為攻擊者控制的服務(wù)器，最終竊取受害者的憑證信息。

獲取到Token后，向受害者所在的服務(wù)器發(fā)起websocket鏈接，執(zhí)行命令。

沙箱防線失守：Docker隔離機(jī)制被突破，安全邊界形同虛設(shè)

為應(yīng)對(duì)Agent在執(zhí)行系統(tǒng)操作時(shí)可能引入的安全風(fēng)險(xiǎn)，OpenClaw引入了基于Docker的隔離沙箱模式。然而，該機(jī)制目前已披露多條成熟的沙箱逃逸漏洞，仍面臨潛在的安全挑戰(zhàn)。這里以CVE-2026-24763為例，影響范圍為2026.1.29 及以前的版本。

OpenClaw在 Docker 沙箱模式下構(gòu)造容器內(nèi)執(zhí)行命令時(shí)，注入點(diǎn)在buildDockerExecArgs函數(shù)，OpenClaw使用模板字符串將 params.env.PATH 傳遞至 sh -lc 中。

由于sh -lc會(huì)完整解析整個(gè)命令字符串，如果 params.env.PATH包含如反引號(hào)，分號(hào)等命令注入惡意字符，這些惡意命令會(huì)在本機(jī)執(zhí)行，從而造成沙箱逃逸。

維護(hù)機(jī)制失效：超6000條Issue積壓，安全修復(fù)嚴(yán)重滯后

此外，OpenClaw 項(xiàng)目的 Issue 處理機(jī)制亦不容樂(lè)觀。其 GitHub 倉(cāng)庫(kù)在短時(shí)間內(nèi)涌現(xiàn)了逾 6000 條 Issue，其積壓規(guī)模顯著異于常規(guī)開(kāi)源項(xiàng)目，大量反饋未能獲得及時(shí)有效處理，長(zhǎng)期未決的 Issue 可能掩蓋了深層代碼缺陷，從而增加了項(xiàng)目的整體安全風(fēng)險(xiǎn)。

供應(yīng)鏈投毒：

Skills生態(tài)淪為“惡意插件重災(zāi)區(qū)”

除了OpenClaw自身的漏洞，OpenClaw的Skills生態(tài)系統(tǒng)雖然是其關(guān)鍵優(yōu)勢(shì)之一，但也成為重大的安全隱患，相比底層架構(gòu)的漏洞，Skills生態(tài)的供應(yīng)鏈安全問(wèn)題，具有極高的隱蔽性。

作為官方插件中心，ClawHub承載了全球開(kāi)發(fā)者的創(chuàng)造力。截至目前，倉(cāng)庫(kù)中提交的Skills數(shù)量已突破1.8萬(wàn)大關(guān)。

由于平臺(tái)之前缺乏完善的審核機(jī)制，ClawHub淪為攻擊者的“練兵場(chǎng)”。大量惡意Skills混跡其中，誘導(dǎo)AI執(zhí)行深藏的破壞指令。其中以ClawHavoc(利爪浩劫)投毒事件影響最大。據(jù)報(bào)道，已有超過(guò)1100個(gè)惡意Skills被植入生態(tài)系統(tǒng)，這些投毒手法主要集中在以下三個(gè)維度：

隱蔽文件下載：誘導(dǎo)Agent下載并運(yùn)行惡意木馬。

敏感信息竊?。核鸭h(huán)境變量、API Key等機(jī)密數(shù)據(jù)，并上傳到攻擊者的服務(wù)器。

反彈Shell：獲取受害者系統(tǒng)的遠(yuǎn)程控制權(quán)。

目前官方已下架一批惡意Skills，但仍有部分惡意Skills在生態(tài)系統(tǒng)中，這里以 X (Twitter) Trends為例，該惡意Skills被偽裝成監(jiān)控社交媒體熱門話題的技能，攻擊者編寫了幾百行的輔助文檔，詳細(xì)介紹了工具的功能、API調(diào)用過(guò)程和使用方法，增加Skills的可信度。惡意提示詞被寫在了 Prerequisites或Setup中，在啟動(dòng)Skill后執(zhí)行這些惡意命令。

攻擊者將惡意命令Base64編碼后，交給大模型執(zhí)行，最終從C2服務(wù)器上下載惡意腳本并執(zhí)行。

當(dāng)AI“大腦”失控

大模型自身缺陷正在打開(kāi)新安全魔盒

作為AI智能體，OpenClaw所依賴的大語(yǔ)言模型LLM自身缺陷，帶來(lái)了傳統(tǒng)軟件不具備的新型系統(tǒng)級(jí)風(fēng)險(xiǎn)。

提示詞注入攻擊：指令與數(shù)據(jù)的“無(wú)間道”

除了底層代碼架構(gòu)漏洞和供應(yīng)鏈投毒外，OpenClaw作為AI智能體，其核心大腦——大語(yǔ)言模型(LLM)自身的固有缺陷也引入了全新的系統(tǒng)級(jí)安全風(fēng)險(xiǎn)。由于大語(yǔ)言模型在架構(gòu)上無(wú)法嚴(yán)格區(qū)分“系統(tǒng)指令”與“外部輸入數(shù)據(jù)”。當(dāng)OpenClaw被授權(quán)讀取網(wǎng)頁(yè)、處理外部郵件或總結(jié)文檔時(shí)，攻擊者可以將惡意指令隱藏在這些外部數(shù)據(jù)中，實(shí)現(xiàn)間接提示詞注入。

AI的“失憶”：上下文長(zhǎng)度限制引發(fā)的權(quán)限失控

2026年2月23日的深夜，科技大廠超級(jí)智能團(tuán)隊(duì)的AI安全總監(jiān)在使用OpenClaw時(shí)，遭遇了嚴(yán)重安全事故。OpenClaw自主且快速地誤刪了 200 余封郵件且常規(guī)干預(yù)失效，只能通過(guò)物理方式強(qiáng)制中斷進(jìn)程。

這是一個(gè)非常典型的大模型底層技術(shù)機(jī)制問(wèn)題：長(zhǎng)上下文壓縮導(dǎo)致的指令失效。OpenClaw采用動(dòng)態(tài)壓縮策略，當(dāng)上下文接近窗口上限時(shí)，系統(tǒng)會(huì)自動(dòng)總結(jié)或截?cái)鄽v史信息，然而，在處理海量郵件數(shù)據(jù)時(shí)，上下文窗口會(huì)迅速被填滿，觸發(fā)的壓縮機(jī)制為了騰出計(jì)算空間，錯(cuò)誤地將處于底層的初始防御指令(如“未經(jīng)授權(quán)禁止執(zhí)行”)判定為“冗余信息”并剔除。這種“上下文遺忘”直接導(dǎo)致 Agent 脫離人類控制，進(jìn)入盲目執(zhí)行狀態(tài)，脫離人類控制。

部署建議

運(yùn)行環(huán)境隔離與權(quán)限確認(rèn)：使用獨(dú)立低權(quán)限賬戶啟動(dòng)，且部署在隔離的虛擬機(jī)或容器中，對(duì)于敏感操作必須增加人工二次確認(rèn)。

網(wǎng)絡(luò)暴露面收斂：確保WebSocket網(wǎng)關(guān)(默認(rèn)18789端口)僅監(jiān)聽(tīng)127.0.0.1，嚴(yán)禁暴露至公網(wǎng)。若需遠(yuǎn)程訪問(wèn)，請(qǐng)通過(guò)配置帶有強(qiáng)身份驗(yàn)證的Nginx反向代理。

供應(yīng)鏈管控：僅從官方或受信任源安裝Skill，安裝前進(jìn)行安全審計(jì)，避免使用帶有隱蔽命令操作的插件。

防御方案部署：部署AI解決方案，華為星河AI網(wǎng)絡(luò)安全目前支持從系統(tǒng)、網(wǎng)絡(luò)、模型、Agent建立安全圍欄，解決權(quán)限失控、數(shù)據(jù)泄露等潛在的安全風(fēng)險(xiǎn)。

OpenClaw在極短時(shí)間內(nèi)的爆紅與隨后爆發(fā)的安全危機(jī)是整個(gè)人工智能產(chǎn)業(yè)從“被動(dòng)感知與對(duì)話”向“主動(dòng)決策與行動(dòng)”跨越時(shí)必須經(jīng)歷的陣痛。在“數(shù)字員工”時(shí)代的大幕剛剛拉開(kāi)之際，安全，已不再是應(yīng)用落地后修補(bǔ)的防護(hù)屏障，而是決定AI智能體能否真正走進(jìn)企業(yè)核心生產(chǎn)環(huán)境、并贏得人類最終信任的唯一生存基石。