OpenClaw安全风险全链路分析与企业防护建议

OpenClaw作为2025年11月上线开源AI Agent框架，凭借其强大的自动化能力迅速成为GitHub历史上增长最快的项目之一，累计获得超过20万颗星。然而，随着用户规模的爆发式增长，其暴露出的安全问题也日益严峻。国家信息安全漏洞共享平台（CNVD）与深信服科技联合发布的报告显示，OpenClaw面临漏洞、暴露面、生态供应链等多维度安全威胁，需要引起企业和个人用户的高度重视。

漏洞与暴露面风险分析

OpenClaw的核心能力涵盖了广泛的自动化场景：信息处理（网页浏览、PDF总结、截图分析）、日程管理（日历安排、提醒通知）、商务自动化（在线购物、邮件处理）、系统集成（文件读写、桌面应用控制）、通信集成（微信、飞书、WhatsApp等主流平台）以及持久化记忆功能。这种深度系统集成模式使其能够充当用户的"个人AI助手"，但同时也需要获取用户的高度信任——包括密码和API密钥、浏览器历史记录，以及文件系统访问权限。

配置错误与部署风险

截至2026年3月11日，OpenClaw被披露的漏洞数量已达82个，其中高危漏洞33个、中危漏洞47个、低危漏洞2个。更令人担忧的是，安全研究机构SecurityScorecard的统计数据显示，公网上可被探测到的OpenClaw暴露实例累计超过46.9万个，其中活跃数量约20.3万个。通过版本匹配检测发现，27.2%的实例存在高危漏洞，面临被攻击者直接接管的风险。 主要高危漏洞包括：CNVD-2026-13289（WebSocket令牌劫持，可导致认证Token被窃取）、CNVD-2026-13291和CNVD-2026-13290（命令注入漏洞，允许攻击者在宿主机上执行任意命令）、CNVD-2026-13294（SSRF漏洞，可探测内网和云元数据端点）、CNVD-2026-13295（路径穿越漏洞，可将文件写入任意位置）。其中部分漏洞的利用代码已公开，构成了现实威胁。

生态供应链安全危机

OpenClaw的默认配置存在多项严重安全缺陷。旧版本默认绑定到0.0.0.0:18789（监听所有网络接口）而非127.0.0.1（仅本地回环），且早期版本未启用认证功能。尽管部分问题已在后续版本中修复，但大量未更新的在线实例仍面临严峻攻击风险。 典型错误配置场景包括：一是反向代理部署时未配置trustedProxies，导致所有请求被视为可信本地连接，效果等同于对全互联网开放无认证访问；二是凭据以明文形式存储于~/.openclaw/目录下的Markdown和JSON文件中，RedLine、Lumma等主流信息窃取木马已将其纳入默认采集列表；三是公开群组策略允许任何群成员发送指令触发工具调用。 实际攻击事件已有多次记录：安全研究员通过Shodan扫描发现数百个无认证实例，成功获取了多个用户的Anthropic API密钥、Telegram Bot Token、Slack OAuth凭据和完整聊天记录；Moltbook（OpenClaw配套社交网络）的Supabase数据库因安全配置失误暴露约150万个API认证Token和35000个邮箱地址；Vidar窃取木马变种专门

防护建议与安全实践

ClawHub作为OpenClaw官方插件平台，在短短数周内经历了爆发式增长，截至2026年3月已收录超过18000个社区构建的技能。然而，该平台的技能发布门槛极低，仅要求发布者拥有创建超过一周的GitHub账户即可上传，既无严格身份核验，也未开展前置安全审计。 安全审计结果揭示了严峻现实：Koi Security第一轮审计发现12%的技能为恶意程序，第二轮审计发现超过820个恶意技能（约占8%）；Snyk的ToxicSkills报告显示36.82%的技能存在安全缺陷，确认76个含有恶意payload。2026年2月爆发的ClawHavoc攻击活动是最大规模的供应链攻击，攻击者通过伪装成加密货币钱包工具、YouTube辅助工具、自动更新程序等手段，分发信息窃取木马和键盘记录程序，累计攻击了数十万用户。

如有侵权，请联系删除。