文章总结： OpenClawAI智能体框架存在系统性安全风险，涵盖7大领域：模型层面临提示注入、越狱和密钥泄露威胁；数据操作层存在明文存储凭据、skill投毒和RAG存储污染风险；智能体层存在工具滥用、会话派生滥用和沙箱逃逸问题；部署层存在网关暴露、TailscaleFunnel误配置和Dockersocket暴露风险；运行层存在日志篡改和审计不足；应用层存在私信策略错误配置和身份伪造；生态层存在恶意插件和供应链攻击。缓解措施包括输入清理、模型故障切换、会话压缩、skill扫描、配置校验、安全审计、权限隔离和最小权限原则等。 综合评分： 88 文章分类： AI安全,漏洞分析,安全建设,应用安全,安全运营

OpenClaw风险概览与缓解

原创

冰之舞者 冰之舞者

Security for AI

2026年2月8日 11:22 马来西亚

0x01 模型安全

通过消息渠道的对抗性提示注入

• 威胁:攻击者通过发送精心构造的消息，诱导模型产生有害输出。这些消息可能包含隐藏指令、base64编码的载荷，或用于覆盖系统提示词的上下文操控技巧。该攻击利用模型难以区分用户指令与恶意注入的弱点，可能导致未授权的工具访问、数据泄露或有害行为。
• 缓解:通过src/agents/pi-embedded-helpers.ts中的输入清理会剥离思考签名并对工具调用进行清理。src/agents/model-fallback.ts中的模型故障切换在检测到滥用时自动切换模型。src/agents/context-window-guard.ts中的上下文窗口防护可防止上下文溢出攻击。/think命令限制推理深度以减少可被利用的攻击面。src/agents/compaction.ts中的会话压缩会定期总结并重置上下文，防止长期操控。

通过多轮上下文越狱

• 威胁:持久会话允许攻击者在多条消息中逐步操控上下文。攻击者通过长期建立信任并引入细微的前提偏移，最终可能绕过原本能捕获直接越狱尝试的安全防护。这类对话式攻击相比单轮提示注入更难检测。
• 缓解:通过src/agents/compaction.ts中的会话压缩会定期总结对话并移除较早上下文，从而限制渐进式操控的时间窗口。上下文窗口防护会监控对话长度，并在可疑模式形成前触发重置。模型故障切换系统检测到异常行为模式时会切换到更安全的模型配置。

API密钥暴露

• 威胁:API密钥存放在配置文件中，文件系统权限可能过于宽松。一旦攻击者获得文件系统访问权限，就可能提取凭据，以用户身份产生费用或访问提供方完整的API能力。
• 缓解:通过src/config/config.ts中的配置校验会拒绝具有对所有用户可读权限的配置。src/security/audit.ts中的安全审计会主动检查并报告对所有用户可读的配置文件。凭据应在可用时使用操作系统钥匙串集成进行存储，审计命令也会对权限问题给出告警。

通过上传文件的提示注入

• 威胁:通过消息渠道上传的恶意文档或图片会被模型处理以进行理解。攻击者可以在图片元数据、隐写内容或文档结构中嵌入隐藏指令，使其在模型分析文件时触发，从而可能绕过基于文本的输入过滤。
• 缓解:通过src/media/与src/media-understanding/中的媒体处理流水线会在将内容送入模型前对文件内容进行清理。预处理阶段会剥离图片元数据，文档解析会将正文内容与可能包含注入向量的结构元素隔离。媒体流水线的多个阶段都会执行输入校验。

系统提示词泄露

• 威胁:定义系统行为的AGENTS.md、SOUL.md和TOOLS.md文件可能通过模型输出泄露。一旦用户能够提取这些提示词，就能了解智能体的完整能力、约束和内部机制，从而发起更复杂的攻击。
• 缓解:通过src/agents/pi-embedded-helpers.ts中的输出过滤会阻止已知系统提示词模式出现在回复中。src/agents/bootstrap-files.ts中的引导机制使用动态提示词构建，并在会话间变化，从而降低基于模式的提取成功率。对提示词提取行为的监控会在检测到可疑查询模式时触发告警。

0X02 数据操作

明文存储凭据

• 威胁:OAuth令牌、API密钥和配对凭据以JSON文件形式存储，且未进行静态加密。攻击者一旦获得文件系统访问权限，就可能读取所有存储的凭据，从而实现账号接管、未授权的消息访问，以及对所有已配置渠道的数据窃取。
• 缓解:配对存储使用短期有效代码并设置过期(1小时TTL)，并将每个渠道的待处理请求限制为3个。凭据应使用操作系统钥匙串集成进行存储。安全审计会标记对所有用户可读的凭据目录。配对码使用排除了易混字符的字符集，降低社工攻击风险。

对所有用户可读的状态目录

• 威胁:默认状态目录(~/.openclaw/)的权限可能允许同一系统上的其他用户读取会话数据、对话日志和智能体状态。这会暴露敏感对话数据，并在智能体具备更高权限时提供潜在的升级路径。
• 缓解:通过src/security/audit.ts中的安全审计会检查对所有用户可写和对所有用户可读的状态目录，并按严重程度报告发现项。系统建议状态目录使用权限模式0o700。安装脚本应在初始设置时设置合适的权限。

历史消息泄漏

• 威胁:存放在磁盘上的会话日志包含完整对话历史，包括所有用户消息与智能体回复。这些日志除非显式轮转，否则会无限期保留，从而形成较大的信息泄露攻击面。
• 缓解:会话配置支持自动压缩与轮转。日志可配置为对敏感模式进行脱敏。安全审计会标记保留过多历史的配置。用户应基于自身安全需求配置日志保留策略。

skill投毒注入

• 威胁:从~/.openclaw/workspace/skills/加载的技能会以智能体的权限执行任意代码。恶意技能可能外传数据、执行系统命令、访问凭据或进行其他有害操作。由于技能可完全访问智能体能力。
• 缓解:通过src/security/skill-scanner.ts中的skill扫描器按行实施规则检查以识别危险模式。它会检测危险的执行函数(exec、execSync、spawn、spawnSync)并要求出现child_process上下文，检测包含网络上下文的环境变量收集模式(process.env)，以及文件系统操作与网络请求。skill会在加载前扫描，危险模式会根据严重程度触发告警或阻断。生产部署应实现技能签名。

RAG存储投毒

• 威胁:使用LanceDB的记忆系统会存储对话嵌入向量，并在未来回答中提供参考。攻击者可以注入恶意内容并写入向量库，导致模型在后续对话中引用被投毒的记忆，从而传播错误信息或升级攻击。
• 缓解:记忆隔离可按智能体身份对向量库进行分段。嵌入向量生成前的内容校验可过滤明显恶意模式。记忆检索使用相似度阈值，避免召回相关性边缘但可能被投毒的条目。定期的记忆审计可识别可疑模式。

浏览器配置文件数据泄漏

• 威胁:用于Web自动化的Chrome浏览器配置文件包含Cookie、会话数据、浏览历史和缓存凭据。如果浏览器沙箱被攻破，这些数据可能被提取并用于接管用户已登录站点的账号。
• 缓解:浏览器自动化在最小权限的隔离上下文中运行。按配置可在会话间清理配置文件数据。浏览器子系统与主智能体进程隔离。网络请求通过代理过滤，代理可阻断敏感端点。

0x03 智能体

通过提示注入滥用工具

• 威胁:攻击者构造消息触发bash或浏览器工具执行未授权命令。一旦注入成功，攻击者可以删除文件、外传数据、安装恶意软件，或执行智能体工具允许的任何操作。这是从对话直接通往系统被攻破的最直接路径。
• 缓解:所有工具调用都会记录完整参数以便审计。工具使用模式会被监控以发现异常。src/config/config.ts中的沙箱配置包含工具访问的允许列表与拒绝列表。提升权限的命令需要显式批准。在可能情况下，bash命令通过受限shell运行。

会话派生滥用

• 威胁:sessions_spawn工具会创建子智能体，且子智能体可能具有不同权限。攻击者可能派生未授权会话，将其用作绕过控制的隐蔽通道，或通过创建具备更高访问权限的会话实现权限升级。
• 缓解:会话派生需要显式的允许列表配置。子智能体默认继承受限的工具集。派生行为会记录完整上下文以便审计。通过安全审计标记在缺少必要控制的情况下允许派生的配置。可按配置要求人工参与审批后才能创建会话。

跨会话数据泄漏

• 威胁:如果dmScope配置不当，多用户私信可能共享同一会话上下文。群组私信中的用户可能看到其他用户的消息，或智能体把一个对话的信息泄露到另一个对话。
• 缓解:配置校验dmScope设置，并对可能导致泄漏的配置发出告警。会话隔离是默认行为。通过安全审计标记错误配置。访问组在将用户纳入敏感上下文前强制显式授权。

提升权限模式被利用

• 威胁:/elevated on命令会授予bash命令及其他受限工具的特权访问。如果控制不足，攻击者一旦获得任何程度的访问权限，就可能通过提升权限会话获得对系统的完全控制。
• 缓解:提升权限模式需要显式的允许列表配置。通过src/security/audit.ts中的安全审计标记提升权限模式中使用通配符允许列表的配置。按配置要求，提升权限命令需要人工批准。提升权限会话设置超时限制。所有提升权限命令都记录完整审计链路。

沙箱逃逸

• 威胁:用于隔离智能体操作的Docker沙箱可能被卷挂载、容器逃逸漏洞或错误的安全选项配置绕过。一旦逃逸成功，攻击者即可访问宿主机系统。
• 缓解:src/config/config.sandbox-docker.test.ts中的Docker沙箱配置会校验安全选项。容器以最小权限运行(不使用–privileged、不使用宿主机网络)。卷挂载仅允许特定路径。安全配置文件(seccomp、AppArmor)限制系统调用访问。

智能体间通信滥用

• 威胁:sessions_send工具允许智能体之间通信，这可能被用作外传数据的隐蔽通道，或用于在隔离会话之间协调攻击。智能体间消息可能绕过常规授权控制。
• 缓解:智能体间通信会被记录并监控。通过安全审计标记在缺少控制的情况下启用跨会话通信的配置。通信模式会被监控以发现异常。访问组可限制哪些智能体可以互相通信。

0x04 部署与基础设施

网关绑定暴露

• 威胁:当gateway.bind未设置为loopback时，网关服务会在除回环之外的网络接口上绑定且不启用认证。这会把控制平面暴露到网络上，使任何能访问宿主机的人都可以向智能体发送命令。
• 缓解:默认绑定为127.0.0.1:18789。通过安全审计检测并报告绑定到其他接口的配置。对非回环绑定必须启用认证。当绑定到回环之外时，审计标记未配置共享密钥的配置。

Tailscale Funnel错误配置

• 威胁:Tailscale Funnel模式会在缺少额外认证的情况下把网关暴露到公网。这为任何互联网上的攻击者提供了直接的网关攻击面。
• 缓解:通过安全审计标记Tailscale Funnel配置。Funnel模式需要用户显式配置与同意。对funnel连接强制执行认证。审计对缺少合适访问控制的funnel配置发出告警。

Host伪造

• 威胁:当网关位于反向代理之后时，缺失或错误配置的trustedProxies设置会允许攻击者伪造IP地址及其他HTTP头部。这可能绕过基于IP的限速、访问控制和审计日志。
• 缓解:通过安全审计检查代理配置是否正确设置受信任代理。头部校验拒绝明显伪造的值。访问日志包含对源IP的校验。

WebSocket令牌暴力破解

• 威胁:网关认证令牌可能过短或随机性不足，攻击者可通过暴力破解令牌获得未授权的控制访问。
• 缓解:令牌生成使用密码学安全的随机数生成器。令牌长度满足安全阈值。认证失败会触发限速与锁定。安全审计标记弱令牌配置。

Node.js运行时漏洞

• 威胁:Node.js依赖可能存在已知安全漏洞并被利用。攻击者可借此逃逸隔离、提升权限或外传数据。
• 缓解:定期依赖审计可识别已知漏洞。安全审计应包含依赖漏洞检查。最小化依赖集合可减少攻击面。

Docker Socket暴露

• 威胁:若沙箱容器被配置为可访问Docker socket(/var/run/docker.sock)，就可能绕过隔离并控制宿主机的Docker守护进程，从而实现容器越狱、镜像篡改与集群被攻破。
• 缓解:通过安全审计标记在沙箱配置中挂载Docker socket的情况。容器不应获得socket访问权限。优先采用替代的隔离机制。通过配置校验拒绝已知的危险模式。

0x05 运行评估

日志记录不足

• 威胁:当logging.redactSensitive设置为false时，审计日志可能包含密钥、凭据与敏感用户数据。这些日志可能被未授权访问，或在日志聚合系统中被暴露。
• 缓解:默认启用敏感数据脱敏。通过安全审计标记关闭脱敏的配置。日志存储应限制为授权人员可访问。日志聚合系统应有独立的访问控制。

审计日志篡改

• 威胁:本地存储且缺少完整性保护的日志可能被攻击者修改以掩盖痕迹，从而削弱取证分析与事件响应。
• 缓解:应实现带完整性校验和的JSON格式审计日志。一次写入或仅追加日志可防止修改，远程日志转运可保持完整性。对日志条目进行加密签名可提供不可否认性。

网关探测失败不可见

• 威胁:对在线网关进行探测的深度安全审计可能静默失败，从而在网关无法访问或无法被测试时仍给出错误的安全信心。
• 缓解:通过安全审计结构记录探测尝试、URL、错误与成功状态。失败的探测会连同错误细节一起报告。重试逻辑提升可靠性。对关键部署建议进行带外验证。

0x06 应用安全

私信策略错误配置

• 威胁:将dmPolicy设置为open会允许任何人在无需批准的情况下向智能体发送私信。攻击者可以用恶意消息淹没智能体，将其用于垃圾信息与钓鱼，或大规模探测漏洞。
• 缓解:默认dmPolicy为pairing，需要显式批准。安全审计会标记开放的私信策略。渠道监控器会校验私信设置。基于配对的访问在任何人能够与智能体交互前引入人工监督。

群聊未授权访问

• 威胁:若群聊策略未正确限制谁可以提及或与智能体交互，未授权用户就可能触发行动。缺少合适的访问组时，群内任何人都能与智能体交互。
• 缓解:src/config/group-policy.ts中的群策略配置会强制执行显式访问控制。安全审计会标记允许不受限群访问的配置。访问组提供对群场景下交互者的精细控制。可按配置要求群成员新增需人工批准。

配对码暴力破解

• 威胁:使用29个字符(排除0、O、1、I等易混字符)组成的8位配对码理论上可能被暴力破解，尽管搜索空间很大(29^8≈5×10^11种组合)。攻击者可以尝试猜测有效配对码以获得对智能体的访问权限。
• 缓解:配对码在1小时后过期(60分钟TTL)，缩小攻击窗口。每个渠道最多3个待处理配对请求可抑制暴力破解。失败的配对可触发额外限速。

身份伪造

• 威胁:在某些渠道中，发送者身份可能被伪造或冒充，使攻击者看起来像合法用户或智能体本身。这可能造成社工攻击，或注入看似来自可信来源的恶意内容。
• 缓解:通过src/channels/sender-identity.ts中的渠道特定身份校验会在支持时验证发送者真实性。渠道提供时使用加密签名。审计日志记录身份元数据以便取证分析。对关键操作，用户应通过带外方式进行确认。

跨渠道关联

• 威胁:同一用户可能通过多个渠道与智能体交互，若缺少恰当的身份统一，智能体可能无法识别用户的完整历史，或在渠道之间不当共享信息而导致泄露。
• 缓解:可基于用户显式绑定配置身份关联。默认的渠道隔离可防止自动跨渠道数据共享。通过安全审计标记启用不当关联的配置。

非人类身份管理

• 威胁:子智能体与自动化会话缺少正式的身份证明机制，难以验证其合法性并追踪其行为。这会导致无法清晰判断是谁或什么在代表用户行动。
• 缓解:src/agents/identity.ts中的智能体身份可包含加密证明。子智能体行为会携带父会话上下文并记录。审计链路维持智能体行为的可追溯链条。

0x07 智能体生态

安装恶意插件

• 威胁:extensions/中的扩展可能包含恶意代码，用于外传数据、执行未授权操作或提供后门访问。插件安装目前不要求签名校验。
• 缓解:通过src/security/audit.ts中的安全审计校验插件完整性并检查是否存在未提交变更。src/security/skill-scanner.ts中的代码安全扫描会对插件代码执行检查。插件应仅从可信来源加载。生产环境应强制执行插件签名要求。

插件供应链攻击

• 威胁:插件中的npm依赖可能被攻破或包含恶意代码。被攻破的依赖可能影响该插件的所有用户，并可能通过共享依赖传播到核心系统。
• 缓解:应对所有插件执行依赖审计。patches/中的精确版本可防止通过版本操控实施的供应链攻击。安全审计会标记使用外部依赖但未进行版本固定的插件。最小化插件依赖可减少攻击面。

skill注册表投毒

• 威胁:ClawHub skill表可能包含攻击者提交的恶意技能。用户从注册表安装技能后可能执行有害代码或导致数据外传。
• 缓解:技能在发布到注册表前应经过审核。skill签名可提供真实性校验。查。用户应仅从可信来源安装技能。

多智能体恶意协同

• 威胁:通过sessions_spawn创建的子智能体可能协同绕过安全控制。多个智能体协同可能实现单一智能体难以完成的目标，从而提升权限或通过协同行动外传数据。
• 缓解:子智能体行为会被记录，并可关联分析以检测串谋。跨智能体通信需要显式配置。安全审计会标记启用危险多智能体场景的配置。可按配置要求对多智能体操作引入人工监督。

智能体冒充

• 威胁:假冒智能体可能宣称合法身份，诱骗用户与其交互或授予未授权访问。若缺少强身份校验，用户无法可靠区分合法智能体与冒充者。
• 缓解:在支持时，智能体身份包含加密签名。已发布的智能体身份可对照已知注册表进行验证。用户应通过带外渠道验证智能体真实性。

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Security for AI 冰之舞者 冰之舞者《OpenClaw风险概览与缓解》