爆火背后:OpenClaw 开源AI智能体应用攻击面与安全风险系统剖析

阅读: 40
2026年初,OpenClaw(曾用名Clawdbot、Moltbot)这一开源自主AI智能体项目在全球范围内迅速引爆关注。作为一款以聊天Bot形态运行的自动化智能体应用,它允许用户通过Web页面、IM工具(如Telegram、Slack、Discord等)输入自然语言指令,实现邮件读写、日历管理、浏览器操控、文件操作乃至Shell命令执行等高权限任务。凭借完全本地部署、强大自主执行能力的特性,OpenClaw在短短几周内GitHub的Star数暴涨至183K,成为近年来增长最迅猛的开源AI项目之一,其影响力迅速从开发者社区扩展到全球科技圈。

然而,这种爆发式增长背后隐藏着严重安全隐患。项目在极短时间内连曝至少3个高危远程代码执行RCE漏洞;同时,频繁更名同时引发次生的供应链风险,包括域名/包名抢注、GitHub与X账号冒充等。代码安全与标识不稳定,共同叠加长期安全风险。

本文将系统剖析 OpenClaw 的核心攻击面,重点围绕其架构设计与已知高危漏洞展开案例分析,深入拆解典型漏洞的完整利用链与实际危害路径,并结合当前真实的威胁场景,帮助开发者、企业用户及安全从业者理性审视这一AI智能体应用热潮背后隐藏的真实代价,避免在追求效率时忽视了潜藏的巨大安全风险。

 

一、OpenClaw架构分析与威胁洞察

(一)架构剖析与攻击面分析

OpenClaw的架构设计埋植了诸多安全隐患

OpenClaw 采用了一套分层次架构,将社交IM软件与自动化智能体深度耦合。该架构的指令输入始于IM集成网关,它负责对接 Telegram等第三方通讯软件及 Web 控制台,将非结构化的指令引入系统。随后,指令进入核心的智能体系统,由LLM(大语言模型)进行任务编排与决策推理,并依托上下文与记忆管理模块维持复杂任务的连续性。为了让智能体具备操作现实世界的能力,OpenClaw对智能体开放了对底层操作系统命令执行与文件读写的调用能力。同时,借助Skills与MCP插件体系,系统能够灵活扩展各类工具能力,例如查询网络信息、调用API、操作软件等。而在整个架构的生态底座,ClawHub 社区市场提供了插件的动态分发与加载机制。

上述分层架构在赋予OpenClaw灵活性与可扩展性的同时,也引入了多维度的安全风险与攻击面。其主要攻击面涵盖了从指令源头的直接/间接提示词注入,到鉴权环节的配置错误,再到下游执行端的权限滥用与供应链投毒攻击。

 入口层:指令伪造与配置缺陷:由于聊天场景(如群组对话)的开放性,攻击者可利用信息噪音实施直接提示词注入,绕过预设指令。此外,网关 API 的鉴权强度直接决定了后端的安全边界,错误的权限配置将导致API网关成为远程代码执行的跳板。

 决策层:逻辑操纵与记忆投毒:该层级的核心威胁在于针对大模型逻辑的提示词注入。攻击者可通过恶意对话诱导编排器偏离既定目标。更为隐蔽的是记忆投毒,通过在上下文或长期记忆中埋入恶意策略,使智能体在后续决策中产生持久性的安全偏差。

 执行层:高权限滥用与现实破坏:OpenClaw在部署时(尤其服务器环境下)通常具备高权限(如 root 权限),一旦被恶意指令利用,将演变为灾难性的系统控制风险。同时,Skills 与 MCP 插件的引入增加了受攻击频率,恶意的工具调用可能导致敏感数据泄露或对现实物理环境产生非预期影响。

 生态层:供应链投毒与生态污染:ClawHub 社区市场形成了典型的供应链风险。若缺乏严格的代码审计与签名校验,攻击者可通过发布包含恶意提示词及代码的Skills插件,实现代码投毒。当用户一键加载此类插件时,攻击者即可在受害者环境中获得持久化的驻留能力。

(二)OpenClaw在野资产暴露面与风险分析

反向代理映射公网虽然帮助大量OpenClaw实例完成快速上线,却也埋藏了便捷与安全的核心矛盾。 利用Nginx、Caddy等反向代理工具将OpenClaw的Web面板直接映射至公网,是当下主流的便捷部署方式。它既能避免改动OpenClaw原生运行环境,又可灵活实现域名绑定、HTTPS启用、负载均衡与访问控制,因而被个人及小型团队广泛用于快速上线。但这种方式绕过了内网隔离与统一入口管控,使大量实例直接暴露于互联网,形成显著的外部可见性,为后续在野资产发现与安全治理带来挑战。

全网测绘数据显示,OpenClaw在野资产短期内快速增长,中国已反超美国成为全球规模最大部署区域。 年初全球仅有少量实例,随后迅速进入万级规模,至2月中旬已积累为数万个。区域分布上,中国资产量从早期低于美国,逐步追平并反超,截至发稿以约1.4万规模超过美国,位居全球首位。

资产规模的快速扩张叠加特定安全短板,使OpenClaw在野部署面临多维度高风险。 一是敏感行业资产裸露,例如金融等关键基础设施的实例暴露于公网,易成为攻击重点;二是历史漏洞放大威胁,曾出现的反向代理配置错误致未授权访问漏洞,在公网资产中仍部分存在,可导致攻击影响面的迅速扩大;三是同质化资产易引发批量风险,快速部署模板使大量实例结构趋同,一旦模板有缺陷或爆出严重漏洞,风险将沿同类资产链快速蔓延;四是关联权限扩大危害范围,OpenClaw不仅涉及IM聊天群组数据,还关联主机控制权限与敏感业务数据,一旦失陷,极易成为渗透内网、窃取核心数据的跳板。

面对这一系列新兴且规模可观的安全暴露面,亟需建立针对OpenClaw在野资产的发现与治理能力。 应通过精准识别与动态监测,实现风险的早发现、早处置,防止安全隐患转化为实际攻击事件。

 

二、OpenClaw高危漏洞案例分析

目前安全社区及网络安全公司关于OpenClaw的安全问题的讨论焦点已转移其Skills生态所引入的次生风险,例如插件能力滥用、权限边界不清晰或第三方组件供应链问题等。但事实上,OpenClaw作为一个典型的 Vibe Coding 项目,其代码层面本身就存在多处安全薄弱点,同样值得高度关注。

Vibe Coding 强调快速生成与迭代,在效率优先的开发节奏下,往往弱化了系统化的安全设计、威胁建模与严格审计流程,容易引入诸如输入校验不足、鉴权缺失、敏感信息暴露、依赖管理混乱等基础性安全问题。

这些问题并非来源于生态扩展,而是源于开发范式本身所带来的结构性风险。因此更要关注OpenClaw自身开发方式与代码质量所带来的安全性危机。

(一)OpenClaw错误反向代理配置产生的未授权漏洞

2026年1月25日,Twitter用户theonejvo发现OpenClaw在Nginx反向代理场景下产生未授权漏洞,OpenClaw在设计上对“本地连接”默认自动放行,这样当其部署在Nginx/Caddy等反向代理之后,所有请求在后端看来都来自127.0.0.1,从而被当成可信本地连接,与此同时未正确配置trustedProxies或启用强制认证的情况下,导致任意用户直接访问控制界面,该控制界面拥有代理配置、凭据存储、对话历史及命令执行等高权限,最终这个漏洞演变为对AI智能体的完全接管。

未授权可直接与Chat交互,bash tool直接执行系统命令

获取配置列中Telegram等配置信息

(二)OpenClaw 1click漏洞-修改网关地址-CVE-2026-25253

2026年1月26日depthfirst公司再次发现漏洞,任意修改网关地址,app-settings.ts直接接受gatewayUrl中的查询参数并将其保存到存储中,设置网关后立即触发连接操作,将authToken发送到新网关连接握手中,这会产生一个完整的攻击链,当受害者不小心点击到了攻击者构造围绕这一漏洞构造的钓鱼,从窃取令牌再到创建对本地18789端口进行WebSocket连接,最终直接任意命令执行。

(三)OpenClaw 命令注入漏洞-CVE-2026-25157

在对SSH远程连接处理中存在两个命令注入问题,ssh-tunnel.ts中解析SSH目标字符串,但未禁止以短横线(“–、-”)开头的主机名,这使得攻击者可以构造类似恶意SSH目标-oProxyCommand=…客户端会将其解析为命令行选项ssh,从而导致本地命令执行。

不仅如此,OpenClaw项目本身的Issuses处理状况也令人关注。其GitHub仓库在短期内积压了超过6700个Issues,远超传统开源项目。大量Issuse未能得到及时、充分的处理,暴露出维护响应上的滞后,这很可能意味着项目深层潜藏着未被发现或解决的代码安全问题。

鉴于OpenClaw作为Vibe Coding时代的代表产物,因备受追捧而在快速部署与直接上线中普遍忽视安全前置,且其自身维护滞后、在野资产大量暴露,安全风险显著积聚。我们呼吁使用者,尤其是个人与中小团队,在试用阶段务必依托云服务沙箱环境进行全面测试与评估,切勿将其直接接入企业生产环境或个人家庭网络,以防未知漏洞与规模化攻击隐患。

 

三、OpenClaw攻击面实战案例分析

风险案例1:“以安全换便捷”,对智能体的盲目信任放大恶意操纵风险

以 OpenCode、OpenClaw 等为代表的高自主性智能体已逐步在用户本地环境中实现规模化部署,并通过 Skills 等插件机制深度集成操作系统、开发工具链及各类第三方服务。此类智能体在运行过程中通常持续持有用户配置的上下文信息、访问凭据与执行权限,以支撑自动化任务的连续执行。在实际应用场景中,智能体往往具备直接执行系统命令、读写本地文件、发起网络请求的能力,并可与加密钱包、交易平台及企业级业务系统等高价值目标建立直接连接。随着智能体能力边界与权限范围的不断扩展,其具体行为路径愈发依赖输入内容与扩展机制(Skill / 插件)的执行逻辑,提示词输入与 Skill 调用流程逐渐演化为影响智能体行为的核心控制面。

然而,在实际部署与使用过程中,若对智能体决策过程与执行链路缺乏实时校验与约束机制,过度信任其自主决策能力,极易引发系统性安全风险。以现实案例为例,攻击者可通过构造恶意邮件实现间接提示词注入(Indirect Prompt Injection),从而干扰 OpenClaw 的正常邮件处理逻辑,诱导其在无显式授权的情况下执行攻击者预置的恶意指令。类比于传统安全攻防模型,该攻击模式可近似视为一种“0-click”的邮件触发型远程代码执行攻击路径,即无需用户交互即可完成攻击链路触发与执行控制。其攻击效果与历史上被称为“三角测量”的攻击模型在结构特征与控制机制上具有高度相似性,体现出智能体架构下新型自动化攻击面的系统性风险特征,接入的外部信息源与工具越多,恶意指令越容易不可控的指令数据中,不止是邮件、一个恶意网页、聊天框发送的文件都可能成为攻击的初始向量。

借助邮件的OpenClaw间接提示词注入

在实际使用中,部分用户将 OpenClaw 等高自主性智能体直接用于高风险操作场景,将原本应被严格隔离与多重校验保护的敏感操作与凭据暴露在 智能体执行链路中。传统安全体系中依赖多年构建的访问控制、权限分级与安全审计机制,在智能体自动化执行模式下被结构性绕过。例如,在实际案例中,用户直接通过 AK/SK 凭据授权智能体执行云服务器自动化运维任务,使云资源控制权限被无条件嵌入智能体执行路径之中。一旦智能体行为路径受到输入污染、提示词注入或 Skill 扩展逻辑劫持,其影响范围将直接扩展至云基础设施控制层,形成从“智能体失控”到“云资源控制失控”的快速跨层传播风险链路。

OpenClaw接入自动运维工具,具备实例操作能力

风险案例2:Skills插件系统供应链风险叠加隔离机制缺失,放大投毒威胁

绿盟科技天元实验室曾在《深度剖析:SKILLS架构攻击面、实战案例与开源生态调研》一文中针对Skills安全风险进行了系统分析。在OpenClaw大火后,我们观察到Skills在架构设计与生态缺乏监管方面的安全风险已经蔓延到了OpenClaw。

ClawHub是OpenClaw官方推出的官方Skills插件分发平台,其托管了超3k个开源Skills;支持通过OpenClaw的CLI客户端进行一键式插件安装部署。而且上传自定义Skill的门槛极低,只需要注册一个无需实名的Github账号。

Clawhub是OpenClaw的官方Skills分发渠道

该平台在上线初期(首月运营阶段)未设置有效的安全审核与内容校验机制,导致大量恶意插件(Skills)得以快速涌入生态体系。研究分析表明,在采集的 3000 余个 Clawhub Skill 样本中,共识别出 336 个恶意投毒样本,占比约 10.8%,呈现出显著的规模化渗透特征与系统性风险水平,安全态势不容忽视。

恶意Skill占比

进一步分析发现,恶意 Skills 的主要攻击模式以“下载-执行”为核心特征。多数样本通过远程拉取脚本或二进制载荷并在本地直接执行,从而实现持久化控制或后续攻击链部署。如下图所示的典型样本中,攻击者首先对恶意指令进行 Base64 编码以实现混淆与规避检测,随后在运行阶段对编码内容进行解码还原,最终通过 curl 命令从远程服务器下载攻击脚本并直接执行,从而完成完整的“混淆 → 解码 → 下载 → 执行”攻击链路。

恶意Skill

恶意Skill载荷

2026年2月7日,OpenClaw 官方宣布与 VirusTotal 达成合作,重点针对其 ClawHub 市场中的 Skills 插件生态开展安全治理工作。通过 VirusTotal Code Insight 平台,已对超过 3016 个 OpenClaw Skills 样本进行自动化安全分析,并对识别出的恶意 Skills 实施下架与删除处理。截至目前,ClawHub 市场中此前披露的恶意 Skill 已基本完成官方下架处置。然而,研究发现 OpenClaw 官方 GitHub 仓库由于历史备份与同步机制的原因,仍保留大量早期 Skills 项目副本,其中包含部分已被判定为恶意的样本代码。相关仓库内容在技术上仍可被用户直接访问与下载,存在潜在二次传播风险,建议用户在使用与集成相关资源时保持高度审慎,并结合安全审计与代码溯源机制进行校验。

 

四、总结

OpenClaw作为现象级的AI 智能体应用,其核心创新在于将IM聊天软件与高自主性智能体深度结合,以群组聊天作为主要交互入口,极大降低了普通用户的使用门槛,真正让AI从专业工具走向日常生产力。

然而,这种便捷性背后也暴露了明显的安全代价:过于宽松的权限架构设计与缺乏严格管控的插件生态,带来了多重现实风险。项目代码安全问题频发,短时间内接连曝出多个高危RCE漏洞;“以安全换便捷”的设计理念导致对智能体能力的盲目信任,极易放大恶意操作后果;Skills插件系统的供应链风险叠加隔离机制缺失,进一步放大了投毒与恶意代码执行的可能性。这些问题已不再是理论隐患,而是产生了实际的在野威胁。

解决类OpenClaw的AI 智能体的共性安全风险的关键,在于构建全生命周期、系统性的安全围栏与安全评估能力。从设计阶段就严格遵循最小权限原则,运行时为所有工具与插件执行引入沙箱隔离,强化外部输入内容的过滤与隔离,同时建立对智能体资产的自动发现、持续风险评估与动态加固能力。只有将“评估+围栏”真正贯穿智能体的整个生命周期,才能在释放强大自主能力的同时,有效管控其潜在风险,让AI 智能体从“高危实验品”真正转变为可信、可控的生产力基础设施。

 

天元实验室-AI红队平台

在OpenClaw等开源AI智能体应用爆发式增长的当下,智能体安全已从“提示词对抗”升级为系统级漏洞利用与运行时风险全链路挑战。绿盟科技AI红队安全评估平台,以“攻击面智能生成 → 运行时自动化识别”的闭环能力,助力企业快速构建立体防护体系。平台核心优势:

●全链路覆盖:从攻击面自动映射到运行时行为监控,内置70+攻击模板矩阵与智能生成引擎。

●针对性越狱与利用:依托动态业务上下文耦合的提示词变种 + 深度集成Dify、n8n等主流框架,精准挖掘命令注入、敏感文件读取等应用层风险。

●自动化闭环评估:行为分析引擎自动构造攻击载荷、执行渗透测试并输出可执行报告,实现从风险发现到修复建议的一站式闭环。

●实战导向:深度融合绿盟红队实战经验,针对智能体时代复杂威胁,提供资产发现、风险量化与持续验证的全链路能力。

 

绿盟AI安全围栏(NSFOCUS AI-Guardrails)

绿盟AI安全围栏是一款面向大模型及智能体应用的专业安全防护产品。它针对AI交互中特有的多模态内容安全、敏感数据泄露、恶意提示词注入及算力滥用等风险,提供实时在线的检测与防护。产品严格对标国家相关安全规范,已通过权威政务大模型安全测试,并深度适配华为昇腾、海光K100等国产化算力芯片,旨在为政府、金融、能源等各行业客户提供安全、合规、可靠的AI应用安全解决方案,保障智能化业务平稳健康发展。

● 五大安全模型联动:集成内容价值观、提示词攻击、数据安全、算力DDoS检测及安全代答五大核心模型,一站式覆盖AI交互全链路风险。

● 以模治模,深度智能防护:采用“以模治模”核心理念,通过自研的专用安全模型深入理解大模型行为逻辑。不仅能进行关键词拦截,更能从语义层面精准识别违规内容、深层攻击意图及敏感数据泄漏风险,实现智能化的深度对抗。

● 满足严格合规要求,降低监管风险:产品通过工信首批大模型安全测试,检测防护能力严格对标国家规范,采用绿盟围栏防护的大模型即可满足TC260标准,为行业客户提供权威可信的合规保障,显著降低AI应用违规风险。

● 防范新型AI风险,保障业务安全:产品内置经五大绿盟微调优化的安全模型,可一站式防御内容违规、提示词注入、数据泄露、算力耗尽等核心风险,确保AI应用稳定可靠运行。

 

注:部分图片引自

https://depthfirst.com/post/1-click-rce-to-steal-your-moltbot-data-and-keys

https://x.com/Mkukkk/status/2015951362270310879

Spread the word. Share this post!

Meet The Author