文章总结： 文档通报OpenClaw智能体框架两个月内暴露82个漏洞，高危占比近四成，涉及访问控制与命令注入风险。分析指出架构缺陷与用户习惯叠加导致凭证明文存储与权限失控，列举了供应链渗透与隐私窃取场景。文章提出包含版本升级、端口隔离、最小权限原则等紧急修复与长效防护方案，指导用户构建AI安全防线。 综合评分： 89 文章分类： AI安全,漏洞分析,漏洞预警,解决方案

“龙虾”养殖这么久，这份防护指南养殖户务必查看

原创

姚亮 姚亮

赛博研究院

2026年3月12日 17:50 上海

OpenClaw并非简单聊天机器人，而是一套完整的AI Agent运行框架。系统通常由网关控制层、Agent执行层、工具调用层和外部系统接口层构成，所有用户请求都会通过Gateway转发到Agent执行模块，并调用本地工具或插件完成任务。

在这种架构下，智能体通常具备本地文件访问、浏览器控制、API调用等能力，因此一旦出现权限控制缺陷，攻击者就可能利用智能体直接访问本地敏感数据或执行系统命令。

图源：Medium

近日，CNNVD（国家信息安全漏洞库）发布OpenClaw智能体安全漏洞专项通报，引发行业广泛关注。

通报显示，这款热门AI智能体在2026年1-3月短短两个月内，累计暴露出82个安全漏洞，其中超危漏洞12个、高危漏洞21个，高危及以上漏洞占比高达39%，涉及访问控制、命令注入、路径遍历等全类型风险，已形成可被攻击者低成本利用的完整攻击链。

更值得警惕的是，此次漏洞并非单纯的技术缺陷，而是叠加用户使用习惯漏洞，导致用户隐私直接暴露、系统控制权易被劫持，个人及企业用户均面临严重安全威胁。本文将系统拆解此次漏洞危机的核心风险、典型漏洞、攻击场景，并给出可直接落地的防护方案，帮大家守住AI使用的安全底线。

核心漏洞解析

此次CNNVD通报的OpenClaw漏洞，覆盖智能体运行全流程，从权限控制到数据存储，从本地网关到插件生态，均存在明显安全短板，其中4个典型漏洞已出现野外利用案例，风险等级极高。

超危漏洞CVE-2026-28470堪称致命漏洞，攻击者无需复杂操作，仅通过恶意指令诱导，即可让OpenClaw直接泄露核心密钥、删除关键数据，相当于给智能体下发窃取指令就能轻松获取所有敏感信息；CVE-2026-25253（业内暂称“ClawJacked”）CVSS评分8.8分，攻击者构造恶意链接，用户点击后无需任何交互，即可建立WebSocket连接，窃取身份令牌并远程执行任意代码，一条钓鱼链接就能实现电脑远程接管。

CNNVD-202603-738漏洞可让攻击者未授权获取最高权限，轻松劫持AI操作；CVE-2026-25475虽为中危，但利用门槛极低，恶意网站可绕过认证，直接访问OpenClaw本地网关，窃取屏幕截图、聊天记录等隐私数据。这些漏洞叠加在一起，让OpenClaw的安全防护形同虚设，攻击者可通过简单操作，实现隐私窃取、系统接管等恶意行为。

双重安全危机

此次OpenClaw漏洞危机的爆发，本质是“架构设计缺陷和用户使用习惯漏洞”的双重作用，两者相互叠加，让安全风险从“潜在”变为“现实”，其中隐私泄露和权限失控是最核心的两大威胁。

（一）无防护的数据容器风险

OpenClaw为实现“自主执行”核心功能，默认授予自身全磁盘访问、屏幕录制、环境变量读取等高权限，且未做任何有效权限隔离，导致隐私数据暴露无防护。

图源：reddit

主要集中在三个核心场景：

一是凭证明文存储，API密钥、登录密码、会话令牌等敏感信息，均以明文形式存储在配置文件或记忆文件中，攻击者突破任一防线即可直接获取，无需提权，目前主流信息窃取木马已将OpenClaw列为重点攻击目标；

二是个人信息全量采集，智能体运行时会高频捕获屏幕截图、聊天记录、证件照片、财务文件等，且未做任何脱敏处理，一旦被入侵，个人生活轨迹、企业商业机密将被一览无余；

三是公网暴露无防护，全球约27.8万OpenClaw实例未做安全配置，直接暴露在18789/19890公网端口，攻击者通过Shodan等工具即可批量扫描、一键接管，窃取其中所有数据。

（二）不良使用习惯的安全隐患

如果说架构缺陷是安全危机的“根源”，那么用户不当使用习惯就是“推手”，四类高频使用习惯，正在持续放大安全风险，成为攻击者的可乘之机：

随意输入提示词，未做任何防护，攻击者可构造隐藏恶意指令，伪装成正常提示词，用户输入后，智能体将自动读取执行，几分钟内即可被窃取SSH私钥、系统密钥；

乱装非官方插件，ClawHub技能市场中约20%插件藏有恶意代码，伪装成PDF工具、加密货币追踪器等常用工具，安装后可悄悄窃取密钥、部署后门，目前已有上千个插件被检测出信息窃取木马；

轻易点击陌生链接，钓鱼邮件、陌生链接中的恶意参数，可触发零点击漏洞，浏览器脚本静默连接本地网关，直接劫持AI控制权，用户往往毫无察觉；

过度授权，多数用户图方便，默认授予OpenClaw管理员权限，未做操作限制，导致智能体可擅自删除邮件、篡改数据、越权访问核心文件夹，一旦被入侵，损失不可逆。

典型攻击场景

结合近期野外攻击案例，OpenClaw漏洞的攻击流程简单、门槛极低，无需专业技术，攻击者即可快速完成隐私窃取、数据泄露。以下两个典型场景，需重点警惕：

【企业场景：供应链渗透】

攻击者利用企业供应链薄弱环节，将OpenClaw恶意模块植入企业常用的第三方办公插件（如财务核算插件、项目管理工具插件）中，通过正常软件更新渠道推送给企业员工。

员工安装或更新插件后，OpenClaw恶意模块激活，无需用户操作即可获取员工设备的本地管理员权限，进而横向渗透至企业内部局域网。攻击者通过OpenClaw控制多台员工设备，组成内网攻击集群，利用智能体的全权限特性，伪装成企业内部管理员账号，直接访问核心业务系统（如订单管理系统、财务数据系统），批量窃取企业核心经营数据、合作方信息及内部管理文档。

由于攻击源于合法软件供应链，且智能体可伪造操作日志、规避内网安全审计，企业难以发现攻击痕迹，通常在核心数据被非法售卖、业务出现异常时才察觉泄露。

【个人场景：隐私窃取】

攻击者在热门网站、论坛植入恶意脚本，OpenClaw用户访问后，脚本静默连接本地网关，利用漏洞绕过认证，获取智能体控制权；随后指令智能体扫描本地磁盘，采集身份证、银行卡、聊天记录等隐私数据；数据加密后传输至攻击者服务器，用于精准钓鱼、身份盗用、敲诈勒索等恶意活动。

防护指南方案

目前OpenClaw漏洞已进入高危爆发期，所有用户需立即行动，按照“紧急修复、规范使用、长效防护”的步骤，开展安全加固，避免成为下一个攻击目标。

第一步：紧急修复措施

1.  立即升级版本：将OpenClaw升级至2026.3.7及以上版本，该版本已修复浏览器端SSRF防护、跨域授权头过滤等核心漏洞，升级前备份数据，重启后验证补丁生效；

2.  关闭公网暴露：检查网关绑定地址，仅设置为127.0.0.1（仅允许本地访问），严禁绑定0.0.0.0或公网IP，确需远程访问，仅通过SSH/VPN加密隧道连接，禁止直接端口转发；

3.  强化身份认证：设置16位以上强密码（含大小写、数字、特殊符号），启用双因素认证（2FA），定期更换密码，严禁使用默认密码；

4.  隔离运行环境：不在存放工作机密、财务数据、身份信息的设备上部署OpenClaw，建议在备用机、虚拟机或容器中运行，实现物理隔离。

第二步：规范使用要求

1.  遵循最小权限原则：禁用管理员权限运行OpenClaw，仅授予完成任务必需的最小权限，删除文件、传输数据等高危操作，务必设置二次确认；

2.  拒绝非官方插件：仅从ClawHub官方渠道下载插件，安装前审查代码，拒绝要求下载ZIP文件、执行shell脚本、输入密码的插件；

3.  警惕恶意链接：不点击不明网站、陌生链接，启用浏览器过滤器拦截可疑脚本，遇到OpenClaw异常操作（自动弹窗、后台运行），立即断开网关并重置密码；

4.  数据脱敏处理：不直接让智能体处理含身份证号、银行卡号、企业机密的原始文件，先做脱敏处理（遮挡关键信息）后再提交。

第三步：长效防护策略

1.  启用日志审计：打开OpenClaw详细日志功能，定期排查非工作时段运行、访问敏感目录、异常网络连接等可疑行为，日志留存至少30天，便于后续追溯；

2.  定期安全扫描：使用OpenClaw官方安全审计工具，每月至少扫描一次，及时发现配置漏洞与暴露风险，做到早发现、早修复；

3.  关注官方预警：订阅CNNVD、国家互联网应急中心安全通报，及时获取OpenClaw漏洞更新与修复方案，建立常态化安全响应机制。

AI智能体安全底线

此次OpenClaw漏洞危机，不仅暴露了这款AI智能体的安全短板，也给整个AI智能体行业敲响了警钟。

随着AI自主执行能力的提升，高权限带来的安全风险也随之增加，而权限设计缺陷、默认配置脆弱、用户习惯漏洞，正是此次危机的核心诱因。

对于用户而言，使用AI智能体不能只追求效率，更要守住安全底线：权限最小化、防护前置化、审计常态化，这三道底线，是避免隐私泄露、系统被接管的关键。无论是个人还是企业，都需重视AI安全，将防护措施落到实处，避免因一时疏忽，造成不可挽回的损失。

文章作者：技术部总监姚亮

关于赛博研究院

上海赛博网络安全产业创新研究院（简称赛博研究院），是上海市级民办非企业机构，成立至今，赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。

赛博研究院立足上海服务全国，是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构，同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能，并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。

欢迎联络咨询：

邮件：[email protected]；

电话：021-61432693。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛博研究院 姚亮 姚亮《“龙虾”养殖这么久，这份防护指南养殖户务必查看》