本报告由国家信息安全漏洞共享平台(CNVD)与深信服科技股份有限公司联合发布。

 

前言

OpenClaw(前身为 Clawdbot、Moltbot)是 2025 年 11 月上线的开源 AI Agent 框架。该项目被开发者定义为“可真正执行任务的AI”,以惊人速度成为 GitHub 历史上增长最快的现象级项目之一,上线以来累计获得超过 200,000 颗星。在OpenClaw得到爆炸式增长的同时,暴露出的安全问题也较为突出。

OpenClaw框架的核心能力涵盖了广泛的自动化场景:

1. 信息处理能力:浏览网页、总结PDF文档、分析截图内容;

2. 日程管理能力:安排日历事项、发送提醒通知;

3. 商务自动化能力:代客进行在线购物、处理电子邮件;

4. 系统集成能力:读写本地文件、控制桌面应用;

5. 通信集成能力:集成微信、飞书、WhatsApp、iMessage等主流消息平台;

6. 持久化记忆功能:记住数周甚至数月前的交互记录,作为始终可用的个人AI助手持续运行。

OpenClaw为实现上述功能需要获取用户的认证凭证(包括密码和API密钥),浏览器历史和Cookie,以及系统内所有文件和文件夹的访问权限。用户可通过消息触发其操作,OpenClaw会在主机设备上持续运行直至完成任务。

OpenClaw这种深度系统集成模式,虽然在功能层面提供了强大的自动化能力,但在以下层面存在较为突出的安全问题:

1. 漏洞层面:截至2026年3月11日,OpenClaw被披露漏洞数量82个,其中高危漏洞33个、中危漏洞47个、低危漏洞2个;

2. 暴露面层面:SecurityScorecard统计数据显示,截至2026年3月11日,公网上可被探测到的OpenClaw暴露实例累计超46.9万个(活跃数量20.3万个)。其中,通过版本匹配检测发现,27.2%的实例存在高危漏洞,面临被利用攻击风险;

3. 生态层面:OpenClaw官方复盘称,2026年2月24日至3月2日,ClawHub(OpenClaw插件平台)中约20%的插件(Skills)为恶意或可疑插件,ClawHub成为植入恶意代码的重要渠道;

4. 企业内部部署层面:22%的受监控企业发现员工存在私自安装OpenClaw“影子部署”的行为,这类未授权部署绕过企业安全管控,形成了隐蔽的安全风险点;

5. 恶意软件感染层面:已出现针对OpenClaw配置环境的Vidar窃取木马变种。该木马以OpenClaw敏感信息为目标,对其配置文件进行针对性窃取外传。

数据来源:

https://github.com/openclaw/openclaw/releases

https://declawed.io/

https://openclaws.io/blog/openclaw-february-security-crisis/

https://www.token.security/blog/the-clawdbot-enterprise-ai-risk-one-in-five-have-it-installed

https://thehackernews.com/2026/02/infostealer-steals-openclaw-ai-agent.html

OpenClaw发展历程

项目起源

OpenClaw由奥地利开发者 Peter Steinberger创建,最初是一个人的周末项目,目标是构建一个通过 WhatsApp 消息控制的本地 AI 助手。其项目核心设计理念是:“让 AI 通过你已经在用的聊天 App 跟随你”。OpenClaw与传统 AI 工具不同,它不在浏览器沙盒中运行,而是直接在宿主机操作系统层运行,拥有执行 Shell 命令、读写文件、控制浏览器的权限。

OpenClaw发展历程时间线

 

时间

 

事件

 

202511

 

项目以Clawdbot名称首次发布,初期反响平淡

 

20261月下旬

 

 X(原Twitter)爆红,24小时内获得2GitHub stars;便于部署的Mac mini设备在美国多地发生脱销

 

2026127

 

Anthropic发出商标侵权警告(ClawdbotClaude过于相似),项目被迫改名为Moltbot

 

2026129

 

项目再次更名为OpenClaw,同日发布安全补丁版本v2026.1.29

 

2026215

 

OpenAI CEO Sam Altman宣布Steinberger加入OpenAIOpenClaw将转由独立基金会运营

 

20263月初

 

多家国内社交媒体平台宣布支持与OpenClaw通信

 

 

OpenClaw架构

 

  • Gateway网关

核心控制面,默认监听 0.0.0.0:18789(旧版)或 localhost:18789(新版),接收来自微信等社交媒体 Control UI 的指令;

  • Control UI控制面板

基于 Web 的管理界面,负责配置 Agent、工具权限、集成服务;

  • Nodes节点

远程执行主机,Agent 可在其上执行命令、控制浏览器;

  • Skills技能/插件

第三方扩展插件,通过 ClawHub分发;

  • Memory记忆

长期上下文存储,以明文 Markdown/JSON 形式保存于宿主机。

 

OpenClaw安全风险

 

截至目前,已公开的OpenClaw相关安全事件的时间线如下:

 

时间

 

重要事件

 

20261月末

 

1. @fmdz387通过Shodan扫描发现近千个无认证OpenClaw实例

 

2. 卡巴斯基(Kaspersky)安全审计发现512个漏洞,其中8个为严重级别

 

3. 研究员Jamieson O'Reilly成功获取各类第三方服务API密钥、Telegram Token及聊天记录

 

2026/1/29

 

1. CNVD-2026-13289CVE-2026-25253)的修复版本v2026.1.29发布(抢在漏洞公开披露前)

 

2. 厂商同日发布CNVD-2026-13290CVE-2026-25157)、CNVD-2026-13291CVE-2026-24763)安全公告

 

2026/2/3

 

1. SecurityWeek公开披露CNVD-2026-13289CVE-2026-25253 漏洞

 

2. depthfirst发布技术分析:完整1-Click RCE攻击链(Kill Chain

 

2026/2/4

 

厂商再次发布2个安全公告,一周内累计发布5份安全公告

 

2026/2/5

 

 Snyk ToxicSkills报告:36% ClawHub Skills存在安全缺陷,确认76个含有恶意payload

 

2026/2/9

 

1. SecurityScorecard统计发现OpenClaw公网暴露实例超过13.5万,9.5%的实例存在高危漏洞风险,攻击者接管控制

 

2. Bitsight统计数据显示,12728期间发现暴露实例超过3

 

2026/2/14

 

厂商发布CNVD-2026-13292CVE-2026-27001漏洞补丁(版本 v2026.2.13),修复日志投毒、提示词注入(prompt injection问题

 

2026/2/18

 

Endor Labs 披露6个新CVE漏洞,涉及SSRF、认证绕过、路径穿越等类型

 

2026/2/23

 

1. Trend Micro 发布ClawHavoc详细分析报告

 

2. 发现39个恶意技能、AMOS变种信息窃取木马,其C2服务器为91.92.242.30

 

2026/2/26

 

1. Oasis Security披露ClawJacked漏洞(CSWSH + localhost旁路)

 

2. 厂商24小时内发布修复版本v2026.2.25

 

20263月初

 

1. 截至2026311日,公网上可被探测到的OpenClaw暴露实例累计超46.9万个(活跃数量20.3万个)。其中,通过版本匹配检发现27.2%的实例存在高危漏洞,面临被利用攻击风险

2. Koi Security更新审计:10700个技能中超过820为恶意技能

 

3. SMU等多所大学正式发布OpenClaw禁用通告

 

 

OpenClaw漏洞风险

随着OpenClaw的广泛部署,一系列安全漏洞被陆续发现并分配了漏洞编号,已披露的漏洞情况统计如下:

  • 82个CVE漏洞:截至2026年3月初,已披露82个OpenClaw相关CVE漏洞

  • 3个漏洞的利用代码被公开:可实现远程代码执行

  • 修复进度:截至2026年3月12日,厂商已发布v2026.3.11版本,修复40余个漏洞

 

重点漏洞列表

 

项目

 

详情

 

漏洞编号

 

 CNVD-2026-13289CVE-2026-25253

 

危害级别

 

 高危

 

漏洞类型

 

 错误资源传输 / 跨站WebSocket劫持

 

影响版本

 

 v2026.1.29之前版本

 

修复版本

 

 v2026.1.29

 

PoC 状态

 

 已公开

 

漏洞原理

 

 Control UI模块从URLquery string中读取gatewayUrl参数时,未做任何来源验证,会自动建立WebSocket连接,并将认证Token 包含在握手载荷中发送。由于浏览器不对WebSocket连接执行同源策略(Same-Origin PolicySOP),攻击者可在恶意网页中注入JavaScript代码,将受害者的认证Token发送至攻击者控制的服务器

 

 

项目

 

详情

 

漏洞编号

 

 CNVD-2026-13291CVE-2026-24763

 

危害级别

 

 高危

 

漏洞类型

 

 命令注入

 

影响版本

 

 v2026.1.29之前版本

 

修复版本

 

 v2026.1.29

 

PoC 状态

 

 已公开

 

在野利用

 

 存在潜在利用风险

 

漏洞原理

 

 Docker沙箱模式下构造容器内执行命令时,将用户可控的PATH环境变量未经转义直接拼接到shell命令字符串中。攻击者可构造特殊字符串,以OpenClaw进程权限在宿主机上执行任意命令

 

 

项目

 

详情

 

漏洞编号

 

 CNVD-2026-13290CVE-2026-25157

 

危害级别

 

 高危

 

漏洞类型

 

 命令注入

 

影响版本

 

 v2026.1.29之前版本

 

修复版本

 

 v2026.1.29

 

PoC 状态

 

 已公开

 

在野利用

 

 存在潜在利用风险

 

漏洞原理

 

 sshmodeCommand项目中,根路径与SSH目标字符串的解析存在缺陷。攻击者可构造特殊字符串,以OpenClaw进程权限在宿主机上执行任意命令

 

 

项目

 

详情

 

漏洞编号

 

 CNVD-2026-13293CVE-2026-25475

 

危害级别

 

 高危

 

漏洞类型

 

 命令注入

 

影响版本

 

 v2026.1.30之前版本

 

修复版本

 

 v2026.1.30

 

PoC 状态

 

 已公开

 

在野利用

 

 存在潜在利用风险

 

漏洞原理

 

 MEDIA路径解析函数未正确校验文件路径,攻击者可利用绝对路径、用户目录路径或目录穿越序列(../)读取任意文件,并通过输出MEDIA:/path/to/file将敏感数据外泄至外部会话通道

 

 

项目

 

详情

 

漏洞编号

 

 CNVD-2026-13294CVE-2026-26322

 

危害级别

 

 高危

 

漏洞类型

 

 服务端请求伪造(SSRF

 

影响版本

 

 v2026.2.14之前版本

 

修复版本

 

 v2026.2.14

 

PoC 状态

 

 待确认

 

在野利用

 

 无公开利用记录

 

漏洞原理

 

 OpenClaw Gateway的图片处理工具未校验gatewayUrl请求目标URL,攻击者可构造特殊图片URL,使服务器向内网地址或云元数据端点(如AWS EC2169.254.169.254)发起请求,进而探测内网拓扑或窃取云服务凭据

 

 

项目

 

详情

 

漏洞编号

 

 CNVD-2026-13295CVE-2026-26329

 

危害级别

 

 高危

 

漏洞类型

 

 路径穿越

 

影响版本

 

 v2026.2.2之前版本

 

修复版本

 

 v2026.2.2

 

PoC 状态

 

 待确认

 

在野利用

 

 无公开利用记录

 

漏洞原理

 

 浏览器上传功能未对文件路径进行有效验证,攻击者可构造包含 ../ 的恶意路径,将文件写入宿主机文件系统的任意位置,通过写入Cron任务、Shell配置文件等方式实现持久化控制

 

 

项目

 

详情

 

漏洞编号

 

 CNVD-2026-13292CVE-2026-27001

 

危害级别

 

 中危

 

漏洞类型

 

 日志投毒导致提示词注入

 

影响版本

 

 v2026.2.13之前版本

 

修复版本

 

 v2026.2.13

 

PoC 状态

 

 研究人员已验证利用可行性

 

在野利用

 

 无公开利用记录

 

漏洞原理

 

 OpenClaw通过读取自身日志文件辅助故障排查,若攻击者将恶意指令写入日志(如通过集成的邮件、Slack消息等渠道),这些指令会被AI Agent读取并视为合法操作指令执行

 

 

OpenClaw配置错误风险

 

大量OpenClaw实例在公网暴露是与软件漏洞并行的另一类安全隐患,暴露原因包括以下三个方面因素:

1.  默认配置不安全:OpenClaw默认绑定到0.0.0.0(监听所有网络接口),而非127.0.0.1(仅本地回环);

2.  用户安全意识不足:用户在安装OpenClaw时,在不知情的情况下,将AI代理暴露在互联网上;

3.  缺乏安全指导:安装过程中缺乏明确的安全配置提示和警告。

 

OpenClaw的历史默认配置存在多项严重安全缺陷,尽管部分已在新版本修正,但大量仍未更新的旧版本在线实例,依然面临严峻的攻击风险:

配置项

 

旧版默认值

 

风险等级

 

当前状态

 

网关监听地址

 

0.0.0.0:18789(全网卡)

 

极高

 

新版默认配置localhost:18789

 

认证

 

关闭

 

极高

 

新版已默认启用

 

WebSocket Origin 校验

 

关闭

 

极高

 

已修复

 

Localhost 信任策略

 

无条件信任

 

极高

 

部分修复

 

密码失败速率限制

 

无限制

 

 

已修复

 

反向代理后的信任配置

 

trustedProxies未配置

 

 

需手动配置

 

凭据存储方式

 

明文Markdown/JSON

 

 

架构性问题,彻底解决困难

 

mDNS 广播

 

开启(局域网可见)

 

 

泄露实例信息

 

Guest Mode 工具权限

 

开放危险工具

 

 

部分修复

 

 

典型错误配置场景及风险

 

场景一:反向代理未配置 trustedProxies

部署在 Nginx/Caddy 后方的 OpenClaw,若 trustedProxies 未正确配置,所有来自反向代理的请求都以 127.0.0.1 到达网关,被视为可信本地连接。效果等同于对全互联网开放无认证访问。

影响:攻击者无需密码,可通过反向代理直接访问控制界面、配置存储、凭据、会话历史。

 

场景二:凭据明文存储

OpenClaw将 API 密钥、密码、LLM Provider Token 以明文形式存储于 ~/.openclaw/ 目录下的 Markdown 和 JSON 文件中。RedLine、Lumma 等主流信息窃取木马已将OpenClaw的文件路径加入其默认采集列表。

影响:任何能访问文件系统的恶意软件(包括 ClawHub 上的恶意技能)均可直接读取全部凭据。

 

场景三:公开群组策略

在公开群组中部署OpenClaw,任何群成员均可发送 Prompt 指令,触发工具调用、文件读取和配置变更,无需管理员审批。

影响:群组成员可将OpenClaw用作跳板,进入具有更高权限的服务器。

 

已确认的利用事件

 

事件一:Shodan 扫描暴露实例(2026年1月末)

安全研究员 Jamieson O'Reilly 通过 Shodan 发现数百个无认证OpenClaw实例,经手动验证后,成功访问了多个实例的 Anthropic API 密钥、Telegram Bot Token、Slack OAuth 凭据和数月完整聊天记录,能以用户身份发送消息、以完整系统管理员权限执行命令。

 

事件二:Moltbook 数据库泄露(2026年2月)

Wiz 研究团队发现并披露,Moltbook(OpenClaw 的配套 AI 社交网络)的 Supabase 数据库因 Row Level Security 未启用,暴露约 150万个 API 认证 Token、35,000 个电子邮件地址和 4,000 条私信。

 

事件三:Vidar 信息窃取木马感染(2026年2月25日)

Hudson Rock 披露,一名用户的OpenClaw配置目录被 Vidar 变种信息窃取木马窃取,完整的 Agent 操作上下文及所有集成服务凭据被回传。

OpenClaw技能生态与供应链风险

 

ClawHub技能快速增长

 

ClawHub作为OpenClaw的官方公共技能注册中心,其规模在短短数周内经历了爆发式增长:

  • 截至2026年3月9日,ClawHub共收录18,140个社区构建的技能。

  • 二月初技能注册表仅有约2,800个技能,2026年2月26日已飙升至超过10,700个,三周内增长约280%。

  • GitHub上VoltAgent的awesome-openclaw-skills项目从13,729个原始技能中筛选出5,494个技能纳入推荐列表,排除6,940个未通过筛选的技能,排除比例约为50.5%。

 

这种超高速增长远超传统软件包仓库的历史增长曲线,也加剧了安全审计和恶意内容筛查的难度。

 

ClawHub面临的供应链安全风险较为严重。此平台的技能发布门槛极低,仅要求发布者拥有创建超过一周的 GitHub 账户即可完成上传,既无严格的身份核验机制,也未对技能代码开展前置审计,而用户出于对官方市场的天然信任,进一步放大了恶意技能流入生态并被广泛使用的风险。

 

面对庞大的技能库,社区维护者已开始实施系统性的质量筛选工作:

 

来源

 

审计技能数

 

发现恶意数

 

恶意占比

 

Koi Security(第一轮,2026-02初)

 

2,857

 

341

 

12%

 

Koi Security(第二轮,2026-03初)

 

10,700

 

820+

 

~8%

 

Snyk ToxicSkills

 

3,984

 

1,467(含缺陷)

 

36.82%

 

VirusTotal/OpenClaw

 

3,016+

 

314+

 

 

 

这种大规模的内容筛选实践揭示了一个令人警醒的现实:在一个开放且无门槛的技能发布平台上,低质量和恶意内容的比例超出了人们想象。

 

 

ClawHavoc攻击活动

 

ClawHavoc攻击活动在2026年2月爆发,是对ClawHub平台最大规模的供应链攻击。Koi Security团队在对2,857个技能进行安全审计时发现341个恶意技能中,有335个属于ClawHavoc攻击活动。

 

攻击者采用了高度伪装的社会工程学策略下发多平台载荷,发布看似合法的技能如solana-wallet-tracker、youtube-summarize-pro等,通过详细的README文档与用户建立可信度,在README文档的“前置条件”部分,以安装依赖为名,要求用户执行恶意的安装命令,下载信息窃取木马。

 

ClawHavoc攻击活动的一个显著特点是其伪装策略的多样性和针对性:

1. 加密货币用户:111个恶意技能伪装成Solana钱包工具、Phantom钱包工具、钱包追踪器等;

2. 预测市场用户:34个恶意技能以polymarket-trader、polymarket-pro等名称出现;

3. YouTube内容创作者:57个恶意技能伪装成youtube-summarize、youtube-thumbnail-grabber、youtube-video-downloader等工具;

4. 开发者群体:28个恶意技能伪装成自动更新工具;

5. 普通用户:51个恶意技能伪装成金融与社交工具、17个伪装成Google Workspace集成工具、15个伪装成Ethereum Gas追踪器、3个伪装成比特币找回工具。

 

攻击的技术执行路径体现了对目标用户群体的精准理解:

Windows系统攻击链:

1. 要求用户从GitHub仓库下载名为“openclaw-agent.zip”的加密压缩包;

2. 密码设置为“openclaw”以绕过自动化杀毒扫描;

3. 压缩包内包含带有键盘记录功能的木马程序;

4. 可捕获机器上的API密钥、凭证以及AI助手已获取的所有敏感数据。

macOS系统攻击链:

1. 诱导用户复制glot.io托管的安装脚本并粘贴到终端执行;

2. 脚本包含混淆的shell命令,会从攻击者控制的基础设施获取后续载荷;

3. 联系IP地址91.92.242.30获取通用Mach-O二进制文件;

4. 该文件符合Atomic macOS Stealer(AMOS)的特征。

 

ClawHavoc攻击活动背后的威胁行为者展现出了高度的组织化和自动化特征:

1. 域名抢注:29个技能使用clawhub、clawhub1、clawhubb等仿冒名称;

2. 虚假系统提示:在技能安装时通过显示虚假“苹果软件更新”提示,静默建立加密隧道;

3. 时间延迟攻击:恶意代码在安装后数小时或数天后才激活;

4. 批量生成:使用自动化工具和脚本批量生成、上传和命名恶意技能;

5. 账号农场:注册大量GitHub账号,每个账号使用时长超过一周以满足平台要求;

6. 快速扩散:单个上传者发布677个恶意包,此规模攻击模式在传统的开源软件供应链攻击中极为罕见;

7. 恶意.md技能文件:技能可以包含UI不可见的Mermaid markdown恶意指令,由于本地扫描器不扫描该类型文件,实现安全检测绕过;

8. 碎片化攻击载荷:将恶意代码分散在多个文件中,只有在特定条件下才会组合执行;

9. 环境感知攻击:恶意技能能够检测运行环境(开发/生产、操作系统类型等)并调整攻击行为。

 

ClawHub上的恶意Skills攻击载荷呈现多样化演进趋势:

1. 外部恶意软件分发:技能安装指令包含恶意软件下载链接,常使用加密压缩包绕过安全检测;

2. 混淆数据外溢:通过base64、Unicode混淆命令,窃取用户凭证并发送至攻击者服务器;

3. 安全禁用与破坏性操作:诱导Agent关闭安全机制、修改系统配置或删除关键文件。

 

为应对供应链风险,OpenClaw已与 VirusTotal 合作,对新上传的技能进行恶意代码扫描与 LLM 内容语义分析,并对技能包进行基础结构审查。

 

ClawHub局限性体现在以下三方面:

一是 ClawHub 作为公开注册的软件市场,缺乏足够人力开展逐包人工审核,自动化检测又难以覆盖所有恶意变种;

二是恶意行为者可通过持续迭代规避手段,绕过平台检测能力;

三是事后管控缺失。即使恶意技能被发现后从 ClawHub 下架,已安装该技能的用户设备仍会保留并运行恶意程序,难以实现批量清除。

 

OpenClaw部署风险

部署方式

 

外网攻击

内网攻击

浏览器攻击

风险等级

 

直接绑定0.0.0.0(旧默认)+无认证

 

✅ 完全访问

 

✅ 完全访问

 

✅ 完全访问

 

极高

 

公网+弱密码

 

✅ 暴力破解

 

✅ 完全访问

 

✅ 完全访问

 

极高

 

反向代理+trustedProxies未配置

 

✅ 绕过认证

 

✅ 完全访问

 

✅ 完全访问

 

极高

 

localhost仅本地+未打CNVD-2026-13289CVE-2026-25253补丁

 

❌ 无法直连

 

❌ 无法直连

 

✅ 浏览器劫持

 

 

localhost+已打补丁+强认证

 

 无法直连

 

 无法直连

 

较低风险

 

 

隔离VPS+强认证+防火墙+Tailscale

 

 无法直连

 

受限

 

受限

 

相对安全

 

 

内外网攻击者的暴露面

 

如OpenClaw 实例直接暴露于公网且无认证或弱认证时,外网攻击者可访问:

1. 控制面板(Control UI):完整配置管理界面

2. 网关 WebSocket 端口(18789):可直接发送指令给 Agent

3. 明文存储的凭据:LLM Provider API Key、OAuth Token、消息 App 凭据

4. 完整聊天历史:Agent 的所有历史交互记录

5. 已集成的外部服务:通过 Agent 身份访问邮件、消息、日历等

 

在企业内网中,即使 OpenClaw 未暴露公网,已获得内网访问权限的入侵者或内部恶意人员可以:

1. 通过局域网直接访问无认证实例(旧版默认配置)

2. 利用 mDNS 广播自动发现所有内网 OpenClaw 实例(_openclaw-gw._tcp)

3. 以 OpenClaw 作为跳板,访问其已集成的企业内部服务(邮件、Slack、代码仓库),读取明文存储的服务账号凭据,横向扩展至更多系统。

 

 

本地浏览器攻击

 

即使 OpenClaw 仅监听 localhost、从未暴露公网,如未修复CNVD-2026-13289(CVE-2026-25253)和 ClawJacked漏洞,攻击者可通过以下路径发动攻击:

1. 攻击者部署或控制一个网站(钓鱼页面、投毒广告、水坑攻击均可)

2. 用户使用浏览器访问恶意网站,同时登录了 OpenClaw Control UI

3. 恶意网页中的 JavaScript 向 localhost:18789 发起 WebSocket 连接

4. 由于 OpenClaw 未验证 WebSocket Origin,连接被通过

5. Token 被窃取,攻击者通过受害者浏览器获得完整网关控制权

 

 

典型攻击链分析

 

攻击场景一:针对公网暴露实例的直接攻击

前提条件: 目标运行无认证或弱认证的 OpenClaw,监听公网 IP

攻击场景二:针对 localhost 实例的浏览器劫持(CNVD-2026-13289,对应CVE-2026-25253)

前提条件: 目标运行旧版本的 OpenClaw

 
 
 

OpenClaw加固建议

 

OpenClaw可访问用户文件系统、执行 Shell 命令、调用各类第三方服务凭据,一旦被攻击者控制,会导致用户数字权限泄露。在企业环境中,单个被入侵实例可成为内网横向移动跳板,引发核心数据窃取、关键系统受控等严重安全事件;对个人用户来说,隐私信息存在被窃取的风险。

对企业用户的建议

 

紧急处置与基础防护

 

1. 漏洞闭环与凭据管理

  • 将所有 OpenClaw 升级至最新版本

  • 全面轮换关联凭证,包括 LLM API 密钥、消息应用Token、邮件OAuth等

  • 核查所有实例是否存在公网暴露情况,及时整改暴露风险

 

2. 网络层面防护

  • 强制网关仅监听127.0.0.1:18789,禁用0.0.0.0全网监听模式

  • 配置防火墙,拒绝18789端口的公网入向流量

 

3. 认证与权限管控

  • 启用密码认证,设置16位以上强密码

  • 定期轮换 Gateway Token,避免静态凭证泄露风险

  • 启用短期配对码,替代静态 Token 用于身份验证

  • 为 Control UI 配置独立浏览器 Profile,防御跨站劫持攻击

 

长效安全管控措施

 

1. 供应链与插件管理

  • 仅安装经官方审核的 ClawHub 技能

  • 定期清理来源可疑或长期闲置的插件

  • 新技能部署前,需在隔离环境完成代码审查和行为验证

 

2. 监控与审计机制

  • 监控 18789 端口的异常连接行为

  • 审计~/.openclaw/ 目录的访问记录,追踪异常操作

  • 监控 mDNS 广播,发现内网中未申报的 OpenClaw 实例

 

3. 企业政策与流程管控

  • 制定 OpenClaw 专项使用政策,明确使用规范与安全要求

  • 将 OpenClaw 纳入影子 IT 扫描范围,防止未授权部署

  • 开展员工安全意识培训,提升对相关风险的认知与防范能力

  • 将 OpenClaw 实例安装、插件部署纳入标准变更管理流程,规范审批与实施环节

对个人用户的建议

 

1. 提升安全意识

  • 风险认知:充分认识OpenClaw的安全风险

  • 安全配置:按照安全最佳实践进行配置

  • 技能审查:谨慎选择安装的技能,审查技能代码

  • 权限管理:仅授予必要的权限,并定期审查权限设置

 

2. 强化安全实践

  • 环境隔离:建议在虚拟机或容器中使用OpenClaw

  • 敏感信息保护:避免让OpenClaw访问敏感信息

  • 行为监控:监控OpenClaw的网络连接和文件访问行为

  • 定期检查:定期检查系统是否有异常行为

 

3. 应急响应准备

  • 备份重要数据:定期备份重要数据

  • 隔离受感染系统:发现异常时立即隔离系统

  • 清除恶意文件:使用安全工具清除恶意技能或恶意程序

  • 更改受影响凭证:更改所有可能泄露的凭证

结语

 

AI智能体具有巨大的应用潜力和技术价值,但其面临的安全挑战也不容小觑。OpenClaw安全不仅是一个具体项目的问题,更是对整个AI Agent技术发展进程的一项重要警示:在享受自动化便利的同时,需清醒认识潜在风险;在追求技术创新的同时,需同步考虑安全治理。只有通过厂商、技术社区、企业用户、安全机构、研究人员和国家相关部门的共同努力,才能建起一个既能促进创新、又能保障安全的AI生态系统。

 

参考链接

 

官方与CVE数据库

1. GitHub Security Advisories(OpenClaw): https://github.com/openclaw/openclaw/security/advisories

2.Wiz Vulnerability Database: https://www.wiz.io/vulnerability-database/cve/cve-2026-25253

 

漏洞研究与技术分析

1. depthfirst - 1-Click RCE Kill Chain: https://depthfirst.com/post/1-click-rce-to-steal-your-moltbot-data-and-keys

2. Oasis Security - ClawJacked: https://www.oasis.security/blog/openclaw-vulnerability

3. Giskard - Data Leakage & Prompt Injection: https://www.giskard.ai/knowledge/openclaw-security-vulnerabilities-include-data-leakage-and-prompt-injection-risks

 

威胁情报与供应链分析

1. Trend Micro - ClawHavoc / AMOS: https://www.trendmicro.com/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html

2. Snyk - ToxicSkills: https://snyk.io/blog/toxicskills-malicious-ai-agent-skills/

3. Hudson Rock - Infostealer via The Hacker News: https://thehackernews.com/2026/02/infostealer-steals-openclaw-agent.html

4. Repello AI - ClawHavoc Campaign Analysis(引用自 cyberdesserts): https://blog.cyberdesserts.com/openclaw-malicious-skills-security/

 

互联网暴露面扫描报告

1. Bitsight - 30,000+ Exposed Instances: https://www.bitsight.com/blog/openclaw-security-risks-exposed-instances

2. Infosecurity Magazine - 40,000+ Exposed Instances: https://www.infosecurity-magazine.com/news/researchers-40000-exposed-openclaw/

3. SecurityScorecard STRIKE Team(引用自 Barrack AI): https://blog.barrack.ai/openclaw-security-vulnerabilities-2026/

4. Conscia - Multi-Vector Security Crisis: https://conscia.com/blog/the-openclaw-security-crisis/

 

综合分析与评述

1. Dark Reading - Critical OpenClaw Vulnerability: https://www.darkreading.com/application-security/critical-openclaw-vulnerability-ai-agent-risks

2. The Hacker News - OpenClaw Bug Enables One-Click RCE: https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html

3. The Hacker News - ClawJacked: https://thehackernews.com/2026/02/clawjacked-flaw-lets-malicious-sites.html

4. Kaspersky - New OpenClaw AI Agent Found Unsafe: https://www.kaspersky.com/blog/openclaw-vulnerabilities-exposed/55263/

5. Kaspersky - Key OpenClaw Risks: https://www.kaspersky.com/blog/moltbot-enterprise-risk-management/55317/

6. SOCRadar - CVE-2026-25253 Detail: https://socradar.io/blog/cve-2026-25253-rce-openclaw-auth-token/

7. MintMCP - Every OpenClaw CVE Explained: https://www.mintmcp.com/blog/openclaw-cve-explained

8. DigitalOcean - 7 OpenClaw Security Challenges: https://www.digitalocean.com/resources/articles/openclaw-security-challenges

9. Prime Rogue Inc - OpenClaw Security Crisis: https://primerogueinc.com/blog/openclaw-security-crisis-structurally-broken-in-february-2026-what-naive-deployers-need-to-know-before-its-too-late/

10. Infosecurity Magazine - Six New Vulnerabilities: https://www.infosecurity-magazine.com/news/researchers-six-new-openclaw/

11. SMU OIT Security Position: https://blog.smu.edu/itconnect/2026/03/04/openclaw-security-risks-institutional-position/

12. University of Toronto Security Advisory: https://security.utoronto.ca/advisories/openclaw-vulnerability-notification/

13. Pixee Weekly Briefing: https://www.pixee.ai/weekly-briefings/openclaw-malware-ai-agent-trust-2026-02-11

14. Immersive Labs: https://www.immersivelabs.com/resources/c7-blog/openclaw-what-you-need-to-know-before-it-claws-its-way-into-your-organization

15. Hackers Arise - CVE-2026-25253: https://hackers-arise.com/cve-2026-25253-how-malicious-links-can-steal-authentication-tokens-and-compromise-openclaw-systems/