深度解析OpenClaw爆火背后的风险

作为2026年最火爆的开源AI项目之一，OpenClaw 因其支持本地部署、自主文件操作、浏览器控制与任务自动化等能力，在短短几个月内登顶 GitHub 开源项目中获星最多的软件。因其Logo为红色龙虾，因此称为 “小龙虾”，已成为近期互联网热门话题。

随着项目在全球范围内快速普及，其底层架构 “重功能、轻安全” 的设计隐患逐渐暴露。工业和信息化部网络安全威胁和漏洞信息共享平台已发布高危安全预警，指出该开源 AI 智能体在默认配置或配置不当情况下存在较高安全风险。从可导致系统被完全接管的远程代码执行(RCE)漏洞，到依托技能库(ClawHub)发起的供应链恶意软件投递攻击，这只 “龙虾” 引发的安全风险亟需重点关注。

OpenClaw先天性架构

导致互联网安全风险暴露面

OpenClaw 的核心架构由四部分构成。第一，Gateway(网关)，系统统一入口层，承担流量调度、协议转换和安全防护三重功能;第二，Agent(智能体)，具备自主决策能力的 AI 实体，融合感知、推理、规划、执行能力;第三，Skills(技能)，能力扩展层，通过标准化接口向智能体提供扩展能力;第四，Memory(记忆)，缓解大模型 “瞬时遗忘” 问题，为 OpenClaw 提供时空一致性的认知基础。

然而，这种高度灵活的架构设计在实际部署中衍生出了极其庞大的互联网暴露面。由于许多用户和开发者为了追求全天候在线的“数字员工”体验，选择将OpenClaw部署在云端，却往往忽略了最基本的访问控制。在缺乏认证或强隔离机制的情况下，这些节点无异于在公网上“裸奔”，攻击者可以窃取API密钥或执行恶意命令。

截至3月初，allegro.earth公开监测数据显示：公网直接暴露的OpenClaw实例超27万个，其中超5.3万个存在未授权访问漏洞，超10万个存在敏感信息泄露风险。

OpenClaw具有安全漏洞、供应链投毒、模型自身三大类安全风险。

安全漏洞风险：

OpenClaw单月200 漏洞井喷增长

除了部署不当带来的安全风险外，自2026年初起，OpenClaw安全漏洞频发。根据GitHub Advisory Database 漏洞库数据显示，目前已经确认的漏洞总数已达 230余个。

其中，绝大多数漏洞（超200个）集中在今年2月爆发，包含远程代码执行（RCE）和认证绕过在内的严重及高危漏洞占比约44%。主要影响较大的漏洞类型如下表所示：

漏洞类型	数量
命令注入	18
路径遍历	15
认证/授权绕过	14
服务端请求伪造	5
沙箱逃逸	5
代码/命令执行	4

CVE-2026-25253剖析：一个链接如何串起Token窃取与远程命令执行

其中最“出圈”的漏洞是CVE-2026-25253，影响v2026.1.24-1及之前的版本。攻击者可以通过构造恶意链接，诱使受害者点击并设置恶意网关地址，从而窃取用户的认证Token，最终通过工具调用实现远程命令执行。

漏洞利用流程：

由于WebSocket 服务器接受来自任意 Origin 的连接，不受到跨域请求的限制，也就导致了跨站WebSocket劫持(CSWSH)。因此攻击者可以制作一个恶意页面，受害者点击后将网关地址设置为攻击者控制的服务器，最终窃取受害者的凭证信息。

获取到Token后，向受害者所在的服务器发起websocket链接，执行命令。

沙箱防线失守：Docker隔离机制被突破，安全边界形同虚设

为应对Agent在执行系统操作时可能引入的安全风险，OpenClaw引入了基于Docker的隔离沙箱模式。然而，该机制目前已披露多条成熟的沙箱逃逸漏洞，仍面临潜在的安全挑战。这里以CVE-2026-24763为例，影响范围为2026.1.29 及以前的版本。

OpenClaw在 Docker 沙箱模式下构造容器内执行命令时，注入点在buildDockerExecArgs函数，OpenClaw使用模板字符串将 params.env.PATH 传递至 sh -lc 中。

由于sh -lc会完整解析整个命令字符串，如果 params.env.PATH包含如反引号，分号等命令注入恶意字符，这些恶意命令会在本机执行，从而造成沙箱逃逸。

维护机制失效：超6000条Issue积压，安全修复严重滞后

此外，OpenClaw 项目的 Issue 处理机制亦不容乐观。其 GitHub 仓库在短时间内涌现了逾 6000 条 Issue，其积压规模显著异于常规开源项目，大量反馈未能获得及时有效处理，长期未决的 Issue 可能掩盖了深层代码缺陷，从而增加了项目的整体安全风险。

供应链投毒：

Skills生态沦为“恶意插件重灾区”

除了OpenClaw自身的漏洞，OpenClaw的Skills生态系统虽然是其关键优势之一，但也成为重大的安全隐患，相比底层架构的漏洞，Skills生态的供应链安全问题，具有极高的隐蔽性。

作为官方插件中心，ClawHub承载了全球开发者的创造力。截至目前，仓库中提交的Skills数量已突破1.8万大关。

由于平台之前缺乏完善的审核机制，ClawHub沦为攻击者的“练兵场”。大量恶意Skills混迹其中，诱导AI执行深藏的破坏指令。其中以ClawHavoc(利爪浩劫)投毒事件影响最大。据报道，已有超过1100个恶意Skills被植入生态系统，这些投毒手法主要集中在以下三个维度：

隐蔽文件下载：诱导Agent下载并运行恶意木马。

敏感信息窃取：搜集环境变量、API Key等机密数据，并上传到攻击者的服务器。

反弹Shell：获取受害者系统的远程控制权。

目前官方已下架一批恶意Skills，但仍有部分恶意Skills在生态系统中，这里以 X (Twitter) Trends为例，该恶意Skills被伪装成监控社交媒体热门话题的技能，攻击者编写了几百行的辅助文档，详细介绍了工具的功能、API调用过程和使用方法，增加Skills的可信度。恶意提示词被写在了 Prerequisites或Setup中，在启动Skill后执行这些恶意命令。

攻击者将恶意命令Base64编码后，交给大模型执行，最终从C2服务器上下载恶意脚本并执行。

当AI“大脑”失控

大模型自身缺陷正在打开新安全魔盒

作为AI智能体，OpenClaw所依赖的大语言模型LLM自身缺陷，带来了传统软件不具备的新型系统级风险。

提示词注入攻击：指令与数据的“无间道”

除了底层代码架构漏洞和供应链投毒外，OpenClaw作为AI智能体，其核心大脑——大语言模型(LLM)自身的固有缺陷也引入了全新的系统级安全风险。由于大语言模型在架构上无法严格区分“系统指令”与“外部输入数据”。当OpenClaw被授权读取网页、处理外部邮件或总结文档时，攻击者可以将恶意指令隐藏在这些外部数据中，实现间接提示词注入。

AI的“失忆”：上下文长度限制引发的权限失控

2026年2月23日的深夜，科技大厂超级智能团队的AI安全总监在使用OpenClaw时，遭遇了严重安全事故。OpenClaw自主且快速地误删了 200 余封邮件且常规干预失效，只能通过物理方式强制中断进程。

这是一个非常典型的大模型底层技术机制问题：长上下文压缩导致的指令失效。OpenClaw采用动态压缩策略，当上下文接近窗口上限时，系统会自动总结或截断历史信息，然而，在处理海量邮件数据时，上下文窗口会迅速被填满，触发的压缩机制为了腾出计算空间，错误地将处于底层的初始防御指令(如“未经授权禁止执行”)判定为“冗余信息”并剔除。这种“上下文遗忘”直接导致 Agent 脱离人类控制，进入盲目执行状态，脱离人类控制。

部署建议

运行环境隔离与权限确认：使用独立低权限账户启动，且部署在隔离的虚拟机或容器中，对于敏感操作必须增加人工二次确认。

网络暴露面收敛：确保WebSocket网关(默认18789端口)仅监听127.0.0.1，严禁暴露至公网。若需远程访问，请通过配置带有强身份验证的Nginx反向代理。

供应链管控：仅从官方或受信任源安装Skill，安装前进行安全审计，避免使用带有隐蔽命令操作的插件。

防御方案部署：部署AI解决方案，华为星河AI网络安全目前支持从系统、网络、模型、Agent建立安全围栏，解决权限失控、数据泄露等潜在的安全风险。

OpenClaw在极短时间内的爆红与随后爆发的安全危机是整个人工智能产业从“被动感知与对话”向“主动决策与行动”跨越时必须经历的阵痛。在“数字员工”时代的大幕刚刚拉开之际，安全，已不再是应用落地后修补的防护屏障，而是决定AI智能体能否真正走进企业核心生产环境、并赢得人类最终信任的唯一生存基石。