2026年，OpenClaw讓AI真正長出了“手腳”。

它不再是那個只會“紙上談兵”的聊天機(jī)器人，而是能幫你訂機(jī)票、改代碼、管文件的“全能私人助理”。無數(shù)打工人正滿懷期待地安裝這只“龍蝦”，夢想著從此當(dāng)上“小老板”，免于機(jī)械重復(fù)的工作。

然而，這種前所未有的“自主行動”能力，也投下了前所未有的安全陰影。

就在近期，針對OpenClaw的CVE-2026-25253遠(yuǎn)程代碼執(zhí)行（RCE）漏洞曝出，讓不少想跟風(fēng)“養(yǎng)龍蝦”的人冷靜下來。攻擊者只需在網(wǎng)頁或文件中埋下一段惡意提示詞，就能誘導(dǎo)“龍蝦”反水，向系統(tǒng)后臺發(fā)出毀滅性的指令。

這個漏洞精準(zhǔn)指向了語言大模型（LLM）一個極其隱蔽且致命的軟肋——輸出處理不當(dāng)（Insecure Output Handling）。盡管它在OWASP的《大型語言模型與生成式AI十大風(fēng)險2025》（OWASP LLM TOP 10）中只排名第五（LLM05），但它對智能體（AI Agent）而言，卻是危害巨大的“定時炸彈”。當(dāng)負(fù)責(zé)智能體決策的LLM被人“洗腦”或突然“大腦短路”，下發(fā)了惡意指令，你以為無比聽話的“私人助理”，極有可能在瞬間變成拆掉你整個后臺系統(tǒng)的“頭號內(nèi)鬼”。

什么是輸出處理不當(dāng)？

輸出處理不當(dāng)，特指語言大模型（LLM）生成的輸出內(nèi)容在傳遞給下游其他組件和系統(tǒng)（如Web瀏覽器、后端數(shù)據(jù)庫、操作系統(tǒng)Shell、第三方擴(kuò)展）之前，缺乏充分的驗證、清理和處理。

想要理解輸出處理不當(dāng)，區(qū)分它與LLM02 敏感數(shù)據(jù)泄露和LLM09 錯誤信息，先要理解大模型的產(chǎn)品架構(gòu)與應(yīng)用場景。

大模型本身不具備物理破壞性，但是當(dāng)它在產(chǎn)品架構(gòu)、智能體架構(gòu)中擔(dān)任“決策者”，它生成的文本被作為指令傳遞給另一個組件（如下游的數(shù)據(jù)庫插件或瀏覽器）時，風(fēng)險就隨之產(chǎn)生。如果瀏覽器、解析器等接收端組件盲目執(zhí)行了模型提供的輸入，就相當(dāng)于為用戶（或攻擊者）提供了一個通往系統(tǒng)深處的“間接訪問通道”。一旦輸出內(nèi)容包含JavaScript代碼、SQL注入語句或系統(tǒng)Shell命令等惡意指令，就會觸發(fā)代碼執(zhí)行類漏洞，對系統(tǒng)形成攻擊。

造成輸出處理不當(dāng)?shù)脑蛴卸?。一是來自外部的攻擊，攻擊者可以通過提示詞注入、供應(yīng)鏈攻擊等方式，惡意誘導(dǎo)大模型輸出不當(dāng)內(nèi)容，如包含DROP TABLE的惡意SQL指令，致使數(shù)據(jù)庫遭到破壞。二是大模型自身的缺陷，由于大模型幻覺、訓(xùn)練數(shù)據(jù)偏差等原因，向下游組件發(fā)送錯誤指令，如在生成代碼時，調(diào)用存在安全缺陷的非參數(shù)化SQL語句，引發(fā)注入風(fēng)險。

弄清了輸出處理不當(dāng)?shù)淖饔脵C(jī)制、產(chǎn)生原理，就能區(qū)分它與同樣關(guān)注大模型輸出端（Output）的LLM02與LLM09。LLM02 敏感數(shù)據(jù)泄露關(guān)注的是敏感信息如何從模型中“流出”；而輸出處理不當(dāng)關(guān)注的是模型輸出的內(nèi)容如何變成“病毒”，破壞下游系統(tǒng)的“運行安全”。LLM09 過度依賴關(guān)注的是人或決策環(huán)節(jié)對AI輸出準(zhǔn)確性的盲信；而輸出處理不當(dāng)關(guān)注的是技術(shù)驗證環(huán)節(jié)，側(cè)重于輸出在傳遞給下游組件之前的安全處理。

輸出處理不當(dāng)會引發(fā)哪些安全風(fēng)險？

當(dāng)系統(tǒng)將大模型的輸出視為受信任的“內(nèi)部指令”時，攻擊者可以通過間接提示注入等手段，將大模型變成破壞系統(tǒng)的武器，發(fā)動以下攻擊：

1.遠(yuǎn)程代碼執(zhí)行 (RCE)

這是輸出處理不當(dāng)最致命的后果。如果應(yīng)用程序?qū)⒋竽Ｐ蜕傻膬?nèi)容直接輸入到系統(tǒng) Shell或具有執(zhí)行功能的函數(shù)（如 exec() 或 eval()）中，攻擊者就能通過誘導(dǎo)模型生成刪除系統(tǒng)關(guān)鍵文件的指令，從而完全控制服務(wù)器。這正是OpenClaw漏洞的核心表現(xiàn)形式。

2.跨站腳本攻擊

當(dāng)大模型生成包含JavaScript的內(nèi)容并返回給用戶瀏覽器時，如果瀏覽器未做轉(zhuǎn)義直接渲染執(zhí)行，就會引發(fā)XSS攻擊。攻擊者可以借此竊取用戶的會話信息（Cookies），或者在受害者的瀏覽器上執(zhí)行任意操作。

3.SQL 注入

在數(shù)據(jù)分析類智能體中，大模型常被要求生成SQL查詢指令。如果這些生成的SQL語句在未進(jìn)行參數(shù)化處理的情況下被后端直接執(zhí)行，攻擊者就可以誘導(dǎo)模型輸出惡意查詢（如刪除表的指令），導(dǎo)致整個數(shù)據(jù)庫癱瘓或數(shù)據(jù)泄露。

4.路徑遍歷與系統(tǒng)破壞

如果大模型輸出的內(nèi)容被用于構(gòu)建服務(wù)器上的文件路徑（例如“幫我重命名這個文檔”），而系統(tǒng)未進(jìn)行適當(dāng)?shù)那謇?，攻擊者可能誘導(dǎo)模型訪問受限目錄，導(dǎo)致敏感系統(tǒng)文件被讀取或修改。

5.供應(yīng)鏈污染與惡意軟件包

大模型產(chǎn)生的“幻覺”可能導(dǎo)致它虛構(gòu)出一個并不存在的代碼包名稱。攻擊者可以預(yù)先在公開倉庫注冊一個同名的惡意包。如果開發(fā)人員過度依賴AI的建議且未進(jìn)行代碼審查，就可能在自動化部署流程中引入被感染的資源，致使系統(tǒng)遭到破壞。

如何防范輸出處理不當(dāng)？

防范輸出處理不當(dāng)?shù)暮诵模且浴傲阈湃巍睘楦局笇?dǎo)原則，給大模型的輸出加上一道嚴(yán)格的“安全安檢”，徹底剝離其“未經(jīng)授權(quán)的指令執(zhí)行”特權(quán)，從架構(gòu)底層杜絕AI輸出未經(jīng)校驗直接變?yōu)橄到y(tǒng)可執(zhí)行指令的風(fēng)險。

1.輸出內(nèi)容“零信任”，從源頭攔截不可信內(nèi)容

把大模型的輸出視作不可信的外部輸入，而非內(nèi)部可信指令。對所有傳遞給下游組件的模型響應(yīng)，都執(zhí)行嚴(yán)格的校驗、過濾與合規(guī)檢查，參照OWASP安全驗證標(biāo)準(zhǔn)（ASVS）建立標(biāo)準(zhǔn)化處理流程，從源頭攔截異常與惡意內(nèi)容。

2.實施上下文感知編碼，剝離大模型輸出執(zhí)行特權(quán)

根據(jù)輸出的下游場景做針對性轉(zhuǎn)義與處理：面向瀏覽器的內(nèi)容應(yīng)完成HTML轉(zhuǎn)義，避免代碼被直接執(zhí)行；接入數(shù)據(jù)庫的操作強(qiáng)制使用參數(shù)化查詢，從根源杜絕SQL注入風(fēng)險；對面向系統(tǒng)組件的指令做格式與內(nèi)容校驗，僅放行合規(guī)內(nèi)容。

3.落實“最小化授權(quán)”與沙箱隔離，隔離并鎖定風(fēng)險

遵循“最小化授權(quán)”原則，僅為AI分配完成任務(wù)所需的最低權(quán)限，絕不賦予超額操作能力。同時將AI的指令執(zhí)行放在隔離沙箱中運行，與核心系統(tǒng)、敏感數(shù)據(jù)做物理或邏輯分隔，即便輸出異常也無法波及核心資產(chǎn)。

4.強(qiáng)化日志審計與風(fēng)險監(jiān)控，實時阻斷安全風(fēng)險

建立全鏈路日志記錄與實時監(jiān)控機(jī)制，追蹤模型輸出的執(zhí)行軌跡，識別異常指令、高頻高危操作等攻擊特征。通過異常檢測與速率限制，在漏洞利用造成實質(zhì)破壞前快速攔截、阻斷風(fēng)險。

OpenClaw RCE漏洞的爆發(fā)提醒我們，智能體的“行動力”越強(qiáng)，對于其“大腦”（LLM）的管理就必須越嚴(yán)格。在大模型仍普遍處于“黑盒”狀態(tài)時，它生成的每一行文本在轉(zhuǎn)化為影響物理世界的實際行動前，都必須經(jīng)過徹底的“安檢”與轉(zhuǎn)義處理。絕不能讓未經(jīng)審計的輸出直接流入下游組件，從而獲得操縱現(xiàn)實的權(quán)限。

防范LLM05 輸出處理不當(dāng)，本質(zhì)上是消除AI系統(tǒng)中的“過度信任”。只有在底層邏輯上堅持“數(shù)據(jù)歸數(shù)據(jù)，指令歸指令”，通過實施零信任驗證、上下文編碼以及必要的人工確認(rèn)（Human-in-the-Loop），才能筑起安全長城，在享受AI帶來效率革命的同時，確保企業(yè)數(shù)字資產(chǎn)安然無恙。