文章总结： 本文汇总了开源AI智能体框架OpenClaw近期的安全风险，指出其因默认配置不安全、权限过高及供应链审核缺失引发RCE、零点击劫持及提示词注入等高危漏洞。文章披露了大规模供应链投毒及数据泄露事件，并提供了包括立即升级版本、切断公网暴露、沙箱隔离及强化认证在内的紧急修复与防御建议，强调需重视AI权限管理。 综合评分： 80 文章分类： AI安全,漏洞预警,供应链安全,漏洞分析,解决方案

当心你的AI“管家”变成“内鬼”：OpenClaw（龙虾）近期安全风险全景汇总

原创

低价考证滴滴→ 低价考证滴滴→

Z2O安全攻防

2026年3月8日 21:39 北京

当心你的AI“管家”变成“内鬼”：OpenClaw（龙虾）近期安全风险全景汇总

❝

权限过高、默认配置不安全、供应链投毒……爆火的开源AI框架OpenClaw正经历一场“漏洞风暴”。

❞

如果你是一名AI技术爱好者或开发者，最近一定听说过「OpenClaw」（江湖昵称“龙虾”）的大名。这款在2026年初迅速走红的开源AI智能体框架，凭借其强大的“动手”能力——从管理邮件、执行系统命令到操作浏览器，曾创下「一周内GitHub星标破18万」的纪录。

然而，伴随其爆火而来的，是一系列触目惊心的安全事件。本文将根据公开资料，为你系统性地梳理OpenClaw近期暴露的「主要安全漏洞、风险事件」，并提供「紧急修复与加固建议」。无论你是普通用户还是企业管理者，都值得花几分钟了解，毕竟，你赋予AI的权限，可能正在引狼入室。

一、OpenClaw是什么？为什么它风险极高？

OpenClaw（曾用名 Clawdbot、Moltbot）是一个「可本地部署」的AI智能体框架。它的核心不是陪你聊天，而是「替你干活」：

• 「任务自动化」

  ：帮你处理邮件、管理日历、办理航班值机。

• 「系统交互」

  ：可以直接在你的电脑上执行终端命令、运行脚本、读写文件。

• 「多平台集成」

  ：你可以通过微信、WhatsApp、Telegram等日常通讯工具指挥它。

• 「能力扩展」

  ：通过官方市场 ClawHub 安装各种 “技能”（Skill），让它能做更多事，比如操作数据库、进行加密货币交易。

「正是这种“高权限”和“强执行”的特性，让它成为黑客眼中的“香饽饽”。」 一旦失守，攻击者相当于拥有了你系统的“遥控器”。

二、根本问题：功能狂奔，安全“裸奔”

OpenClaw暴露出的安全问题并非孤立的漏洞，而是一系列「系统性缺陷」的集中爆发：

1. 「默认配置“裸奔”」

   ：早期版本默认将控制界面绑定到 0.0.0.0（所有网络接口），导致大量实例直接暴露在公网，任人扫描。

2. 「脆弱的“家贼难防”逻辑」

   ：系统默认信任来自本机（localhost）的连接，认为“本地来的就是安全的”。这直接催生了后续的“零点击”劫持漏洞。

3. 「权限边界模糊」

   ：核心组件和第三方技能往往被授予过高的系统权限，一旦某个环节被攻破，攻击者就能长驱直入。

4. 「“应用商店”无人审核」

   ：官方技能市场 ClawHub 初期允许任何人上传“技能”，缺乏安全审核，直接导致了大规模的供应链投毒事件。

5. 「对AI新型攻击束手无策」

   ：对「提示词注入」（尤其是通过邮件、网页内容进行的“间接注入”）缺乏有效防御，攻击者可借AI之手窃取数据。

三、近期主要安全漏洞与风险事件盘点

以下是我们为你梳理的关键漏洞和事件，其中不乏能让攻击者“一键接管”你电脑的高危风险。

🚨 核心框架高危漏洞

• 「CVE-2026-25253（一键RCE）」

• 「核心风险」

  ：攻击者可构造恶意链接，受害者点击后，攻击者即可窃取认证令牌，实现「远程命令执行」，完全控制受害者设备。

• 「修复版本」

  ：2026.1.30

• 「ClawJacked（CVE-2026-25593，零点击劫持）」

• 「核心风险」

  ：用户只需「访问一个恶意网站」，该网站即可通过浏览器的WebSocket连接，对本地OpenClaw网关进行「无限制的密码暴力破解」，并在成功后静默注册恶意设备，实现“零点击”接管。

• 「修复版本」

  ：2026.2.25

• 「Gateway反向代理认证绕过」

• 「核心风险」

  ：在使用了Nginx等反向代理的错误配置下，攻击者可绕过认证，「直接访问高权限的控制界面」，获取所有配置和对话历史。

• 「修复状态」

  ：需用户正确配置 trustedProxies。

🎣 新型AI攻击：提示词注入

• 「邮件/网页抓取间接提示词注入」

• 「核心风险」

  ：攻击者向用户发送一封包含隐藏指令的邮件，或在自己的网页中植入不可见的恶意文本。当OpenClaw自动阅读邮件或总结网页内容时，会“中毒”并执行攻击者指令，如「读取本地私钥并发送给攻击者」。

• 「杀伤力」

  ：这是AI时代独有的攻击方式，利用了AI对“数据”和“指令”的混淆。

• 「日志投毒」

• 「核心风险」

  ：攻击者通过向应用日志中写入恶意指令，当管理员或AI后续分析日志时，触发指令执行，实现「持久化控制」。

• 「修复版本」

  ：2026.2.14

📦 生态与供应链安全危机

• 「ClawHavoc（大规模供应链投毒）」

• 「核心风险」

  ：安全研究人员在官方插件市场 ClawHub 中发现了「341个恶意“技能”」。它们伪装成实用工具，实际会下载并执行窃密木马（如针对macOS的Atomic Stealer），「盗取用户邮箱、API密钥和登录令牌」。

• 「警示」

  ：下载任何“技能”前，务必确认其来源和安全性。

• 「Moltbook 社区数据库暴露」

• 「核心风险」

  ：OpenClaw生态中的一个知名安全社区Moltbook，因其使用的数据库未启用基本访问控制，导致「约150万组API与认证令牌、3.5万用户邮箱」等敏感信息暴露。攻击者可利用泄露的令牌「直接接管AI智能体账号」。

🌐 部署与配置风险

• 「公网大规模暴露」

• 「数据」

  ：根据知道创宇404实验室的测绘数据，截至2026年3月4日，全球有「超过6.5万个OpenClaw实例可被识别」，其中「85%以上（约5.3万个）采用默认端口映射部署」，直接暴露在公网。

• 「后果」

  ：任何人都可能扫描到这些实例并尝试攻击。

• 「企业“影子AI”风险」

• 「核心风险」

  ：员工为图方便，私自在内网或办公电脑安装OpenClaw，其高权限特性可能成为攻击者突破企业防线、横向移动的“跳板”。

四、紧急自救：给你的“龙虾”上把锁

面对如此多的风险，作为用户，你必须立刻行动起来。

✅ 紧急措施（所有用户必须执行）

1. 「立即升级」

   ：将你的OpenClaw「更新至 2026.2.25 或更高版本」。这是修复已知高危漏洞（尤其是ClawJacked）的前提。

2. 「切断公网暴露」

   ：

• 检查配置，「严禁将服务绑定到 0.0.0.0」。应确保其只监听 127.0.0.1（本地地址）。
• 如需远程访问，务必通过 「VPN 或 SSH 隧道」，切勿直接映射端口到公网。

1. 「审查并清理插件」

   ：立即检查已安装的 “技能”（Skill），「卸载所有来源不明、不再使用或非官方验证的插件」，尤其是那些要求过高权限的。

2. 「强化访问认证」

   ：为你的OpenClaw网关「设置一个高强度的复杂密码」，并检查是否支持并启用了多因素认证（MFA）。

3. 「保护敏感信息」

   ：API密钥、数据库密码等敏感信息应使用「环境变量或专门的密钥管理服务」存储，绝对不要硬编码在配置文件或对话中。

🛡️ 进阶防御（企业及高安全需求用户）

1. 「沙箱隔离运行」

   ：在 「Docker容器」 中运行OpenClaw，并严格限制容器的资源访问权限（如仅挂载必要目录）。Linux用户可使用Firejail，macOS用户可使用sandbox-exec。

2. 「遵循最小权限原则」

   ：在操作系统层面，「创建一个专用的、低权限的系统账户」来运行OpenClaw进程，杜绝使用root或管理员账户。

3. 「部署监控与审计」

   ：重点监控OpenClaw进程的「网络连接行为」和「执行的异常命令」。部署日志审计、入侵检测系统，及时发现异常。

4. 「制定企业AI治理政策」

   ：明确将AI智能体这类“非人类身份”纳入企业资产管理，对其安装、授权、行为进行审批和全生命周期监控。

❌ 绝对禁止的红线行为

• 不要点击任何声称与OpenClaw相关的不明链接，特别是那些带有诱导性的。
• 不要在对话或任何Prompt中输入你的密码、私钥、API令牌等。
• 不要安装任何未经审核、来源可疑的“技能”。
• 在企业环境中，未经IT和安全部门批准，严禁私自安装和使用此类高权限AI工具。

五、总结

OpenClaw的出现，是AI从“对话”走向“行动”的一个重要标志。它让我们看到了AI助手的巨大潜力，但同时也用一连串的漏洞和安全事件给我们敲响了警钟：「当AI拥有过高权限时，功能强大与安全可控必须并行。」

对于用户而言，必须摒弃“默认设置即安全”的幻想，「主动采取纵深防御策略」。希望本文的梳理能帮助你更全面地了解风险，并立即采取行动，保护好自己的数字世界。

参考资料：知道创宇404实验室、潇湘信安

下面是一则内部学习圈广告😜

别着急退，看完的师傅们有福了/doge

欢迎师傅们加入内部网络安全学习圈子。圈子提供三大板块的内容：

1

网络安全0→1学习路径

1. 完整的「30+周安全学习任务路线图」公开，每周任务明确，清晰的学习重点和目标，从入门到进阶，由浅入深，循序渐进；
2. 学习内容涵盖：

• 常见的Web漏洞原理与利用

• 业务逻辑漏洞挖掘

• SRC实战技巧

• WAF绕过、代码审计、免杀钓鱼

• 内网渗透

  （Linux&Windows）提权与权限维持

• 隧道代理、域渗透、云安全、AI安全

1. 每周发布学习任务+参考资料+建议，学员可自主学习+实战练习；

2

SRC漏洞专项挖掘

1. SRC漏洞知识库持续更新；
2. SRC挖掘技巧、分析方法、视频教程打包；
3. 分享优质挖矿案例，降低上手门槛，教你赚赏金。

3

常态化内容更新

日常分享优质学习资源与攻防渗透技巧，包括但不限于：

1. 红队/蓝队安全攻防、免杀、钓鱼技巧、攻防渗透tips；
2. 学习路线推荐，教程、方法、技巧tips打包分享，实战视频、工具、手册一应俱全；
3. 根据网络安全初中级学习者水平，精选最有用的内容，不让你在信息洪流中迷路。

此前的一下学习记录：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Z2O安全攻防 低价考证滴滴→ 低价考证滴滴→《当心你的AI“管家”变成“内鬼”：OpenClaw（龙虾）近期安全风险全景汇总》