文章总结： 该文档深入分析了AI工具OpenClaw面临的安全风险，涵盖未授权RCE漏洞CVE-2026-25253、供应链投毒及LLM对话上下文提示词注入风险。通过实战演示展示了攻击者如何利用群聊总结和网页内嵌指令窃取数据或执行恶意操作。文章建议用户阅读官方安全手册、验证插件可信度、限制运行权限并在沙箱环境中运行，同时定期执行安全审计以防范潜在威胁。 综合评分： 88 文章分类： AI安全,漏洞分析,实战经验,供应链安全

都说虾有洞，到底有哪些洞？

原创

摸鱼的小A 摸鱼的小A

重生之成为赛博女保安

2026年3月11日 16:38 吉林

全民养虾的AI热潮

最近这几天，“OpenClaw”可是刷了不少社交APP的屏——不说微博热搜就刷了快一周，还有阿里、腾讯、字节等大厂入局，一些提供镜像，一些提供一键部署，一些干脆直接线下坐班免费安装。

图源小红书

但在狂欢之后，不容忽视的安全风险也（早就）逐渐浮上水面。在OpenClaw在国内彻底火起来之前，它就陷入了多个安全风险之中（插件投毒和未授权访问漏洞），在国外炸过一波。

养虾背后的安全风险

目前OpenClaw的安全风险类型和市面上之前的其它AI工具风险（如Ollama）类型基本一致，都是未授权RCE+供应链投毒。当然这还是暴露了AI社区对应用安全的普遍不重视问题——这是后话。

1 2026年1月29日，ClawJacked RCE漏洞（CVE-2026-25253）

3月11日补充：由于这篇文章是几天前写的，今天那八十多个我懒得讲，自己看吧^_^。

请参考：https://nvd.nist.gov/vuln/detail/CVE-2026-25253

在这个进步神速的世界里这个漏洞已经显得有点古早了（这个漏洞被披露时，虾还会被叫做MoltBot）。2026.1.29版本前的OpenClaw存在未授权RCE漏洞，攻击者可通过向OpenClaw的网关发送特定请求，使OpenClaw发送凭据到攻击者指定的地址，进而接管整个OpenClaw，在被攻击的OpenClaw所属计算机上执行任意命令。

由于低版本的OpenClaw默认开放网关端口，这个漏洞据称拥有22万以上的潜在受害者。不过值得高兴的是，在高版本的OpenClaw中，开发者已经内置了安全审计功能openclaw security audit --deep，可以通过这个功能检测当前OpenClaw网关是否存在未授权访问漏洞。

2 供应链投毒风险

同样也是早在2026年1月31号，OpenClaw的ClawdHub发生大规模供应链投毒，攻击者通过上传带有恶意Agent的技能包，对至少4000+用户的主机造成影响，官方在晚间紧急推送了安全补丁。

但值得注意的是，按照现在全民养虾的情况，下一次供应链投毒影响的主机数量只会比之前呈现倍数级上升趋势。

3 LLM对话上下文安全风险

人们不能相信一个陌生人，但是可以相信一个陌生的大模型。

LLM对话提示词注入是2025OWASP TOP 10 LLM中的榜首。很多人可能忘记了，对于LLM而言，一切皆是推理所用的上下文，比如说你要它总结的新闻中的每一句话，又或者是你要它访问的论坛里的每一条留言。

鉴于当下的LLM几乎都不能完全防范提示词注入，让一个LLM无限制、没有选择性的接收外部的信息是无比危险的。

比如之前有人在推特上向龙虾炒股账号@LobstarWilde 乞讨，结果龙虾真的转给他五万美元（也有说四十四万或二十五万）：

这里是新闻原文：https://www.techloy.com/ai-trading-bot-lobster-wilde-accidentally-sends-250k-in-lobstar-tokens-after-misreading-social-media-post/

甚至在一些时候，用户正常下发的指令也会被LLM作为危险操作执行，并且由于OpenClaw基本在远端使用，用户大多数时候就连立刻阻止LLM的危险操作都做不到。

Meta安全总监Summer Yue就惨遭OpenClaw的“毒手”，被删光了邮箱里的邮件：

实战1：对接群聊做总结？一句话变成“坏”龙虾

那么，在已修复其它所有安全漏洞并且没有安装任何未知插件时，龙虾们是否就是安全的呢？也不尽然，或者说，很难保证。

让我们举一个很常见的例子：很多同行会用AI做消息汇总，这就要求龙虾必须每天访问大量内容，比如说未知安全程度的网络文章，或者群聊内容。

这里我让我的朋友桑给我和他的龙虾拉了个群，直接拿下passwd文件内容：

实战2： 研究项目？网页中内嵌的指令会让龙虾被“投毒”！

另一个实验：我在个人介绍页面中添加了一些投毒payload，当使用者给OpenClaw下令访问我的个人简介页面后，OpenClaw会根据payload安装任意软件包：

养虾之前，务必注意

首先，OpenClaw自己是有安全手册的：

https://docs.openclaw.ai/gateway/security

在正式安装之前务必读一读。当然，如果已经安装了也不妨读读，查缺补漏。

其次，在下载插件之前务必要注意：

1.下载插件的商店可信2.插件内容可信，有必要的时候可以读一读插件内容，毕竟除了对接应用的MCP之外，Skill大部分都是文字，大多数人都能看懂

第三，尽量不要让OpenClaw拥有过高权限，能运行在沙箱或虚拟机里就不要运行在有个人凭据的地方；更不要让OpenClaw拥有资金账户——除非你想当下一个“散财童子”。

第四，记得运行openclaw security audit --deep，查查有没有其他已知的漏洞和配置问题。

尾声

从ChatGPT诞生起已经过了四个春秋，期间新一代AI的发展速度我们有目共睹。其实我非常理解大多数拥抱AI使用龙虾的读者的心理。一个巨大的技术变革发生在我们所有人眼前，谁不想上去抓住这个机会呢？但越是强大的工具，越需要敬畏它的权限与风险——希望各位在拥抱之前，还是要好好关注一下它的安全问题~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：重生之成为赛博女保安 摸鱼的小A 摸鱼的小A《都说虾有洞，到底有哪些洞？》