文章总结： 复旦白泽团队揭示OpenClaw平台在多用户共享场景下的安全风险，研究发现无论是共享Agent还是独立Agent，在同一实例中均仅为软隔离，存在会话数据泄露、APIKey外泄、配置篡改等风险。团队建议个人用户非必要不共享、启用pairing模式和allowlist，企业应部署多实例实现进程级隔离、启用Docker沙箱、限制工具权限并配置安全策略，真正隔离需运行在不同实例中。 综合评分： 88 文章分类： AI安全,威胁情报,漏洞分析,应用安全,安全建设

警惕“龙虾”变卧底！OpenClaw竟成突破隔离边界的致命杀手

原创

Telltale Telltale

复旦白泽战队

2026年3月17日 15:04 上海

警惕“龙虾”变卧底

揭秘共享龙虾的安全风险

🦞🦞🦞🦞🦞🦞

最近 OpenClaw 非常火，掀起“龙虾”热潮。

但你有没有想过两个问题：

🦞你跟别人炫耀自己养的龙虾时，会不会被投喂“毒饲料”？

🦞龙虾在多人团队落地，又如何能够听懂指挥？

今天我们就来揭秘一下，共享小龙虾的安全风险！

龙虾怎么“活起来”？

OpenClaw 的一个核心特点，是通过即时通讯软件来操控智能体（Agent）。用户只需发送文本消息，网关就会将其路由到指定的智能体和对应的会话（Session），由模型调用工具执行任务，并将结果返回到聊天软件。

在实际部署中，智能体往往同时拥有消息平台权限和系统能力，例如操作飞书账号、执行系统本地命令或访问文件资源。然而，默认配置下的小龙虾并不安全。

你“养”的这只能干的龙虾一旦被攻击者利用，事情就没那么简单了。

共享龙虾的风险

如果只有你一个人在“养龙虾”，这些能力基本都在自己的控制之下。无论你开多少智能体操作的都是自己控制的系统。但现在很多人已经开始这样玩：

“我这只龙虾挺好用的，你也来试试。”

于是，你把朋友、同事甚至是陌生人拉进了群聊，让大家一起和这只龙虾互动，问题也就从这里开始出现了。

多用户共用 Agent

如果多个用户同时在同一个群聊中使用这只“龙虾”，这些用户并不需要申请权限，实际上是在共享同一个 Agent 的能力，这个龙虾就不再只听你话了！

例如，他们可以轻松轻易获取到智能体的其他会话数据等敏感信息，如用户和智能体的聊天记录。

除此之外，还能利用智能体的能力调用各种工具，例如可以把本地配置文件中的API Key使用其配备的邮箱收发工具外泄。

攻击者收到泄露敏感密钥的邮件：

那如果换一种方式：在部署的OpenClaw实例上给每个用户单独开一个智能体，在各自的群聊里用独立的智能体，是不是就安全了？

多用户使用独立 Agent

经过白泽逐影团队的研究，我们发现情况并没有这么简单。虽然通过路由机制可以让不同智能体进入不同群聊，每个智能体也拥有各自的记忆、模型和工作空间，但在底层系统中，它们仍然可以相互访问。也就是说，在同一个 OpenClaw 实例中，不同 Agent 之间实际上只是“软隔离”。

进一步测试发现，即使使用最先进的模型，也可以轻易访问和篡改其他智能体工作区的信息。

例如，一个智能体可以修改另一个智能体的配置信息，导致其彻底失效。

修改后再使用被攻击的智能体，无法正常执行任务。

共享龙虾，池子先围好

综上，在同一个 OpenClaw 实例中，无论是会话之间还是智能体之间，本质上都只是“软隔离”。虽然在逻辑上被划分为不同的会话或工作区，但在同一实例的运行环境中，仍然存在相互访问的风险。

真正意义上的隔离，通常需要运行在不同的 OpenClaw 实例中。

基于以上风险，如果需要多人一起“养龙虾”，白泽逐影团队提供如下建议。

个人使用：

◉

非必要不共享，可在自己监督下临时提供给其他用户体验

◉

用户与智能体交互开启 pairing 模式，只给完全信任的人使用

◉

群聊启用改为 allowlist，仅允许指定群聊使用

团队/企业使用：

◉

部署多个 OpenClaw 实例，以实现进程级隔离

◉

为敏感智能体启用 Docker 沙箱，在隔离环境中执行敏感任务

◉

按需配置智能体可使用的工具，避免默认开放全部权限

◉

在 AGENTS.md、MEMORY.md 等配置中增加安全策略以缓解风险

总结

龙虾虽好，但带出门就可能被悄悄拐跑。在多人“养殖”的环境下，记得先把池子围好。

白泽逐影团队介绍

白泽逐影（Telltale）智能体安全研究团队由杨哲慜副教授领衔，致力于研究大模型应用漏洞挖掘技术、构建面向新型智能化应用的安全攻防能力，为大模型应用的可信落地与稳健发展提供有力保障。

目前，团队已针对多类大模型应用产品开展了漏洞挖掘与安全检测工作，发现了数百个产品的安全风险，并及时向多家国内外企业进行了负责任披露，推动多项风险完成修复落地。相关成果已获亚马逊、腾讯、百度、字节跳动、快手、深信服等企业的认可，并在业内产生了积极影响。

团队负责人：杨哲慜

复旦大学计算与智能创新学院副教授。研究方向为软件安全攻防技术，在网络安全顶级国际会议上发表论文 20 余篇，多项成果获网络空间安全顶级国际会议焦点论文、杰出论文奖等荣誉。曾获评新耀东方风采人物、上海市科学技术一等奖、中国计算机学会科学技术奖二等奖、上海市计算机学会科学技术奖一等奖。发现数万“零天”安全漏洞，影响谷歌、华为、三星、百度、阿里、腾讯、抖音、小米、高通等国内外知名企业及全球数十亿用户，获国家互联网应急中心授予“2021年最具价值漏洞奖”、“华为安全奖励计划特别贡献奖”等。

个人主页：https://yangzhemin.github.io/

联系方式：[email protected]

团队成员：钟康维

复旦大学系统软件与安全实验室 23 级直博生，研究方向为大模型应用安全、新型移动应用的隐私治理与漏洞挖掘等。在网络安全顶级国际会议发表论文 2 篇，累计获得 300 余个分配有CVE、CNVD及NVDB编号的0-day漏洞，研究成果获亚马逊、华为、腾讯、字节跳动、快手、深信服等头部企业认可，获得“华为安全奖励计划特别贡献奖”。

团队成员：张迎露

复旦大学系统软件与安全实验室 24 级硕士生，研究方向为大模型应用安全、移动应用漏洞挖掘与自动化检测。相关研究工作累计产出数千个安全漏洞，2025年在华为、字节、百度、腾讯、小米、OPPO、360等知名厂商产品中发现 30+ 中高危及严重漏洞，并获得“华为安全奖励计划特别贡献奖”。

供稿、排版：钟康维、张迎露

责编：董佳仪

审核：杨哲慜、张琬琪

复旦白泽战队

一个有情怀的安全团队

还没有关注复旦白泽战队？

公众号、小红书搜索：复旦白泽战队也能找到我们哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：复旦白泽战队 Telltale Telltale《警惕“龙虾”变卧底！OpenClaw竟成突破隔离边界的致命杀手》