OpenClaw爆火背后的安全隐忧：当AI助手变成“数字内鬼”

随着用户规模迅速扩大，与OpenClaw相关的安全问题也逐渐浮出水面。

近期，工业和信息化部网络安全威胁和漏洞信息共享平台发布专项安全预警，指出部分OpenClaw实例在默认配置或不当配置情况下存在较高安全风险，可能导致网络攻击或信息泄露。

2026年2月，某安全公司披露了一项名为“ClawJacked”的高危漏洞。

攻击者只需构造一个看似普通的网页。当用户在运行OpenClaw的同时访问该网页时，恶意脚本便可能通过WebSocket协议绕过防火墙，在极短时间内尝试暴力破解本地AI助手的访问凭证。

问题的根源在于，OpenClaw默认信任来自本机的请求，而攻击者可以借助浏览器这一“合法渠道”，将恶意请求伪装成来自本地的操作。

ClawHub技能市场是OpenClaw生态体系的重要组成部分，同时也成为主要的安全风险来源之一。社区插件中存在一定比例的恶意或高风险技能，部分插件申请的权限远超实际功能需求。

一位AI安全研究人员在社交媒体上分享了真实案例。她曾尝试让OpenClaw协助整理邮箱，但在执行过程中，AI开始批量删除邮件，并未进行任何确认。她不得不迅速终止程序运行，才避免邮件被全部清空。

她形容当时的情况：“就像在拆除炸弹一样紧张，我不得不立刻跑到电脑前强行终止进程。”

03. 风险根源：OpenClaw面临的五大安全挑战

OpenClaw的安全问题并非单一漏洞导致，而是源于架构设计、权限管理和生态体系等多方面因素叠加。本质上，这是AI自主执行能力与传统安全边界之间的冲突。

原生架构与权限设计问题

OpenClaw在运行时通常需要接近系统管理员级别的权限，例如：

- 执行Shell命令

- 读取或修改本地文件

- 控制浏览器

- 访问网络资源

这意味着AI实际上获得了设备的“全局控制能力”。

传统IT安全依赖“最小权限原则”，但在AI多步骤任务执行的场景下，权限边界往往难以提前限定，导致权限滥用风险显著增加。

高危漏洞与远程攻击风险

攻击者可以构造带有恶意参数的链接，诱导用户访问，从而窃取浏览器中的认证令牌，并实现远程代码执行，最终完全控制AI智能体。由于操作方式较为简单，这类攻击往往具有较低门槛。

同时，OpenClaw通常处于长期在线状态，一旦被入侵，攻击者可以持续向系统下发指令，使其成为长期驻留的控制节点。

技能生态带来的供应链风险

ClawHub插件市场目前缺乏严格的安全审核机制，任何开发者都可以上传插件。并且，插件默认继承OpenClaw主程序的全部权限，而非运行在隔离沙箱环境中。

因此，即便是一个简单的天气查询插件，也可能拥有执行Shell命令或读取系统文件的能力。一旦安装恶意插件，攻击者即可获得设备控制权。

AI特有风险：提示词注入

提示词注入（Prompt Injection）被认为是AI系统中的核心攻击方式之一，其风险类似于传统Web系统中的SQL注入。攻击者可以在网页、邮件或文档中嵌入隐藏指令。当OpenClaw读取这些内容时，可能被诱导执行原本不应执行的操作。

数据与凭证泄露风险

OpenClaw默认会将大量敏感信息存储在本地配置文件中，例如：

- LLM API Key

- OAuth令牌

- 数据库密码

- SSH凭证

- 云服务访问密钥

这些信息通常以明文形式存储在本地的配置文件中，并且在某些情况下，文件权限可能过于宽松。

04. 应对策略：从“裸奔龙虾”到“可信助手” 

针对上述风险，企业和个人用户应采取系统性的安全防护措施。

架构隔离与最小权限

OpenClaw不应部署在核心业务服务器或常用的个人电脑上。建议通过容器、虚拟机或沙箱环境运行OpenClaw，并限制其系统权限。

网络暴露控制

OpenClaw不应直接暴露在公网环境，建议将网关监听地址从 0.0.0.0 修改为 127.0.0.1，仅允许本地访问。

在此基础上，可以进一步加固默认配置：

- 修改默认端口

- 关闭服务Banner信息

- 使用HTTPS和访问控制机制保护本地网络的访问

凭证与数据保护

用户应定期检查配置文件中的访问令牌，并及时进行更换。

同时建议：

- 避免明文保存敏感凭证

- 启用全盘磁盘加密

- 使用安全密钥管理工具

操作审计与人工确认

对于涉及删除文件、发送邮件或支付操作的任务，应启用人类确认机制（HITL）。

在执行Shell命令前进行安全过滤

插件生态安全管理

在使用技能插件时，应遵循基本原则：

- 避免安装下载量极低的插件

- 不运行需要管理员权限的未知插件

- 不在AI运行状态下随意点击陌生链接

同时，应定期使用官方安全工具进行插件审计。

持续监控与应急响应

应建立AI系统安全监控与响应机制。一旦发现异常行为，应立即：

- 终止相关进程

- 检查异常网络连接

- 封禁可疑IP地址

同时，应保持系统版本更新。OpenClaw当前每周会发布2~3个版本更新，很多更新在改进功能的同时修复了多项安全漏洞，建议用户及时升级。

05. 安永的服务：为企业级AI安全保驾护航

安永网络安全与隐私保护咨询团队，为企业提供全方位的OpenClaw安全解决方案。

安全评估与加固服务：针对企业现有OpenClaw部署环境，进行全面的安全风险评估，识别潜在漏洞和配置缺陷，提供定制化的加固方案。

企业级部署架构设计：基于零信任架构，为企业设计安全的OpenClaw部署方案，包括网络隔离、权限管控、审计日志等完整的安全体系。

持续监控与应急响应：7×24小时安全监控服务，实时检测异常行为，建立快速响应机制，最大限度降低安全事件影响。

员工安全意识培训：针对OpenClaw等AI工具的安全使用，提供专业的培训课程，提升全员安全意识和防护能力。

合规咨询与审计：协助企业满足《网络安全法》《数据安全法》《个人信息保护法》等法规要求，通过等级保护测评等合规审计。