2026年初,一款名为OpenClaw(昵称"龙虾")的开源AI智能体席卷全球开发者社区,成为GitHub平台上增长最快的项目之一。它整合多渠道通信能力与大语言模型,能自主访问本地文件、浏览器、邮件甚至执行系统命令,极大提升了工作效率。然而,伴随这一"养虾"热潮而来的,是一系列触目惊心的安全漏洞------从认证绕过到远程代码执行,从沙箱机制被破到API密钥明文泄露。国家信息安全漏洞库(NVDB)已收录其多款高危漏洞,GitHub Advisory Database更是在2026年3月集中披露了数十个相关安全问题。
面对这场效率与安全的博弈,我们既不能因噎废食放弃AI智能体的强大能力,也不能视风险于不顾盲目部署。本文将系统梳理OpenClaw的核心安全风险,提供可落地的规避策略,并探讨如何借助专业安全工具构建纵深防御体系。
一、核心安全风险全景透视
1.1 高危漏洞:攻击者可轻易"接管"你的系统
近期披露的OpenClaw漏洞中,多个CVSS评分高达8.8分的高危漏洞尤为值得警惕。这些漏洞的共同特点是------攻击者无需复杂前置条件即可直接利用,甚至已有部分漏洞出现在野利用案例。
CVE-2026-25253(CVSS 8.8) :OpenClaw Control UI存在参数处理缺陷,接受查询字符串中的gatewayUrl参数。攻击者可构造钓鱼链接,诱导用户点击后将认证令牌传输至恶意服务器,从而实现未授权远程代码执行。这意味着,用户仅需在浏览器中打开一个恶意链接,攻击者就能获得完整的系统控制权限。
CVE-2026-25157(CVSS 8.1) :特定API端点存在命令注入漏洞,攻击者可直接向该端点发送包含恶意命令的请求,参数未经严格过滤便被解析执行。无需身份校验即可在宿主机执行任意系统命令,实现文件读写、删除甚至设备控制。
GHSA-6mgf-v5j7-45cr(CVSS 7.5) :fetch-guard组件存在逻辑缺陷,在跨域重定向过程中会将授权请求头直接转发至重定向目标地址。攻击者可构造恶意重定向链接,窃取用户的授权凭证,进而实现未授权API调用。
1.2 默认配置缺陷:最大的风险往往来自"开箱即用"
令人担忧的是,OpenClaw的默认配置本身就埋下了安全隐患的种子:
-
默认无身份认证:出厂配置未启用任何身份验证,暴露在网络上的实例可被任何人远程访问,执行命令、读取文件、窃取凭据。
-
API密钥明文存储:OpenClaw默认将AI服务、云服务的API密钥以明文形式存储在本地配置文件中。一旦实例被入侵,攻击者可直接获取相关服务密钥,造成经济损失。
-
信任边界模糊:OpenClaw错误地将所有来自localhost的连接视为可信来源,未做额外的身份校验。攻击者可利用此特性,通过浏览器中的恶意JavaScript发起本地WebSocket连接,绕过认证机制。
1.3 供应链风险:ClawHub技能市场的"毒饵"
OpenClaw的第三方技能市场ClawHub成为另一大风险源。安全审计显示,约36.82% 的ClawHub技能存在可被利用的安全缺陷,更令人警惕的是,341个恶意技能包被发现包含键盘记录器、凭据窃取器等恶意代码。默认配置下,AI甚至可自动安装技能,不经用户确认------这无异于为攻击者打开了后门。
1.4 四大应用场景的差异化风险
工信部网络安全威胁和漏洞信息共享平台(NVDB)将OpenClaw的典型应用场景划分为四类,每类风险各有侧重:
| 应用场景 | 主要风险 | 典型案例 |
|---|---|---|
| 智能办公 | 供应链攻击、内网横向渗透、敏感信息泄露 | 对接企业管理系统后,恶意插件导致数据库泄露 |
| 开发运维 | 非授权执行系统命令、设备劫持、API凭证泄露 | 辅助代码运行时被注入恶意指令,服务器遭控制 |
| 个人助手 | 个人信息窃取、提示词注入攻击、明文密钥泄露 | 远程接入被劫持,个人文件遭恶意读写 |
| 金融交易 | 记忆投毒导致错误交易、账户非法接管 | 量化交易系统被注入错误策略,频繁下单失控 |
二、系统化防护策略:构建OpenClaw安全防线
面对上述复杂风险,有效的防护不能依赖单点措施,而应构建覆盖部署、配置、运行、应急的全生命周期安全体系。
2.1 部署阶段:从源头消除暴露风险
严格控制互联网暴露面 是首要原则。OpenClaw的网关端口(默认18789)严禁直接暴露在公网。确需远程访问时,应使用SSH等加密通道,并限制访问源地址。可通过以下命令排查暴露情况:
# Linux用户: ss -tlnp | grep 18789 # 若显示0.0.0.0:18789,说明已暴露在所有网络接口
在openclaw.json中配置仅监听本地地址:
{
"gateway": {
"mode": "local",
"port": 18789,
"bind": "loopback"
}
}使用官方最新版本,避免第三方镜像或历史版本。升级前备份数据,升级后重启服务并验证补丁生效。
2.2 配置阶段:贯彻最小权限与强制认证
强制启用身份认证是阻断未授权访问的关键。务必在配置中添加认证令牌:
json
{
"gateway": {
"auth": {
"token": "使用至少32位随机字符串"
}
}
}遵循最小权限原则 ,为OpenClaw使用专用的低权限系统账户运行,严禁以root或管理员身份运行。在容器或虚拟机中隔离运行,形成独立的权限区域。
加密存储敏感凭证,避免API密钥明文保存在配置文件中。对localStorage中存储的认证材料进行高强度加密,并添加过期机制。
2.3 运行阶段:建立实时监测与阻断能力
谨慎使用技能市场,审慎下载ClawHub"技能包"。安装前审查技能包代码,避免使用要求"下载ZIP"、"执行shell脚本"或"输入密码"的技能包。
防范社会工程学攻击,启用浏览器沙箱、网页过滤器等扩展阻止可疑脚本。开启日志审计功能,遇到可疑行为立即断开网关并重置密码。
建立高危命令黑名单,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。
2.4 应急阶段:建立快速响应机制
定期检查并修补漏洞,及时关注OpenClaw官方安全公告、工信部NVDB平台等漏洞库的风险预警。若怀疑实例被入侵,立即停止服务,更换所有相关API密钥和密码。
三、纵深防御:从文档安全到系统加固的完整闭环
在AI智能体广泛应用的时代,安全防护不应局限于OpenClaw本身,而应扩展至其交互的全链路。处理重要文档时,选择安全的Skills至关重要。
ComPDF Skills 作为专业的PDF文档安全解决方案,ComPDF提供了一套完整的文档处理能力,并且安全可靠:
-
高保真转换:将PDF/图像文件转换为Word、Excel、PPT、HTML、CSV、JSON、RTF、TXT、图片、Markdown等多种格式,保留原始排版与样式。
-
高级页面操作:提取、旋转和合并页面------为智能体提供精确的物理级页面控制能力。支持PDF页面合并、拆分、提取、删除、添加和旋转等完整操作。
-
OCR智能识别:识别扫描文档和手写内容,同时保留原始版面布局,确保转换后的文档结构完整。
-
文档安全与优化:智能文档压缩(预处理以减少Token消耗)和水印添加(版权保护),兼顾效率与安全。
-
文档比对:快速比较两份文档,提供可导航的差异列表,提升审阅效率。支持内容比对与叠加比对两种模式。
将ComPDF集成到OpenClaw的工作流中,可以实现"系统级防护+安全文档处理"的双重保障。
四、结语:在效率与安全之间寻找平衡
OpenClaw作为AI智能体的代表,其强大的自动化能力正在重塑我们的工作方式。然而,正如工信部"六要六不要"建议所强调的,效率的提升绝不能以牺牲安全为代价。从高危漏洞的及时修补,到最小权限原则的严格执行,再到文档级加密防护的叠加,唯有构建系统化的安全防线,才能在这场"养虾"热潮中行稳致远。
对于企业和个人用户而言,安全不是束缚,而是更高效、更持久地享受技术红利的基石。在部署OpenClaw之前,不妨先问自己一个问题:如果今天的智能体明天被接管,我的数据能守住吗?