文章总结： OpenClaw作为开源AI代理工具迅速走红，却暴露严重安全隐患。五周内公开9个漏洞，社区市场超2200个问题附加组件，4万个实例暴露且93%绕过认证。恶意插件诱导AI代理向用户索取凭证，利用信任链实施攻击。建议用户暂停使用、评估权限并清理插件，强调AI普及速度远超安全防护，需加强权限管理与组件审核。 综合评分： 80 文章分类： AI安全,威胁情报,漏洞预警,恶意软件,安全意识

OpenClaw火到200k星，开源AI神器，竟成最大安全噩梦！

Ots安全

2026年3月13日 13:41 广东

威胁简报

恶意软件

漏洞攻击

OpenClaw这款开源AI代理工具，在短短几周时间里就迅速积累到20万GitHub星标，原本是很多开发者眼中的高效助手，却没想到带来了不少安全方面的潜在隐患。短短五周内，这个项目已经公开了9个漏洞，社区市场里出现了超过2200个存在问题的附加组件，还有4万个实例直接暴露在互联网上。

研究发现，其中93%的实例绕过了正常的认证机制，而且它还触发了安全专家之前提醒过的10类AI代理常见隐患中的8类。这些情况让不少使用AI工具的朋友开始警觉起来。大家先来了解一下这个风险链条是怎么一步步形成的。社区市场上的那些问题附加组件，会让AI代理主动向用户弹出看起来正常的设置对话框，然后引导用户输入自己的密码或凭证信息。这样一来，AI助手就变成了帮助获取敏感信息的工具。甚至有一次具体情况是，代理直接向用户询问凭证，从而让macOS系统安装了不安全的程序。用户平时对自己的AI助手很有信任感，所以往往会配合操作，没有多想。

为什么会出现这些情况呢？很多人认为，这就是当一个工具还没来得及好好规划部署细节，就突然火起来的时候容易发生的问题。开发者们在实际使用中，直接给了OpenClaw系统级的访问权限，比如连接邮箱、Slack聊天工具，还分享了云服务的API密钥，然后随意从社区市场安装各种附加组件。而这个市场的审核机制几乎是空白的。根据检查结果，超过40%的附加组件在审计后被发现存在严重的安全问题。这个项目从最初的一个周末小实验，快速成长到20万用户规模，却直到后来才有人开始补上必要的防护措施。

更值得注意的是，这次的问题方式和以往不太一样。以前的不安全程序往往直接针对用户下手，而现在是通过误导AI代理，再让代理来误导用户。当你的助手突然说“为了完成安装，请输入密码”时，大多数人因为信任它，就会直接操作。事后如果有人查看记录，看起来就像是用户自己主动同意的，整个代理的参与过程变得不容易被察觉。这其实反映出AI工具普及速度远远超过了安全防护的跟进速度，在大规模使用中特别明显。除了上面这些，额外还有一些延伸风险需要大家留意。比如部分附加组件可能通过读取外部内容（如邮件签名里的隐藏指令），让代理在用户不知情的情况下尝试获取AWS等云服务的凭证信息。

这不是传统意义上的代码错误，而是因为AI无法准确区分正常指令和潜在问题指令导致的。很多开发者给了它root权限、邮箱访问、API密钥等高权限后，再加上随意安装组件，就相当于把家门钥匙全交给了一个还没完全成熟的帮手。对于广大用户和小伙伴们，尤其是公司团队里如果有人尝试过OpenClaw，建议大家立刻把使用情况当成需要重点检查的对象，先暂停相关操作，重新评估权限设置，清理不必要的插件，并优先选择那些有完善安全机制的AI工具。

个人用户也可以从现在开始，养成在使用任何新AI助手前，先限制权限、避免连接敏感账号、只从官方可靠渠道安装组件的习惯。这样才能让AI真正成为帮手，而不是带来额外麻烦。

总之，OpenClaw的快速流行提醒我们，在拥抱新技术的同时，一定要多留一份心。安全不是事后补救，而是从一开始就做好规划。希望每一位朋友在使用AI代理时，都能多注意这些细节，让自己的工作和数据更安心。

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《OpenClaw火到200k星，开源AI神器，竟成最大安全噩梦！》