2026年初OpenClaw曾用名Clawdbot、Moltbot这一开源自主AI智能体项目在全球范围内迅速引爆关注。作为一款以聊天Bot形态运行的自动化智能体应用它允许用户通过Web页面、IM工具如Telegram、Slack、Discord等输入自然语言指令实现邮件读写、日历管理、浏览器操控、文件操作乃至Shell命令执行等高权限任务。凭借完全本地部署、强大自主执行能力的特性OpenClaw在短短几周内GitHub Star数暴涨至183K成为近年来增长最迅猛的开源AI项目之一其影响力迅速从开发者社区扩展到全球科技圈。然而这种爆发式增长背后隐藏着严重安全隐患。项目在极短时间内连曝至少3个高危远程代码执行RCE漏洞同时频繁更名也引发次生的供应链风险包括域名/包名抢注、GitHub与X账号冒充等。代码安全与标识不稳定共同叠加长期安全风险。本文系统剖析OpenClaw的核心攻击面重点围绕其架构设计与已知高危漏洞展开案例分析拆解典型漏洞的完整利用链与实际危害路径并结合真实威胁场景帮助开发者、企业用户及安全从业者理性审视这一AI智能体热潮背后的真实代价避免在追求效率时忽视潜藏的巨大安全风险。一、OpenClaw架构分析与威胁洞察架构剖析与攻击面分析OpenClaw采用分层次架构将社交IM软件与自动化智能体深度耦合。指令输入始于IM集成网关对接Telegram等第三方通讯软件及Web控制台将非结构化指令引入系统。随后指令进入核心智能体系统由LLM大语言模型进行任务编排与决策推理并依托上下文与记忆管理模块维持复杂任务的连续性。为赋予智能体现实世界操作能力OpenClaw对智能体开放底层操作系统命令执行与文件读写调用。同时通过Skills与MCP插件体系系统可灵活扩展工具能力如查询网络信息、调用API、操作软件等。生态底座ClawHub社区市场则提供插件动态分发与加载机制。AI Agent Security 101: Security of OpenClaw, Manus AI, and Moltbot | by Sergey Gromov | Feb, 2026 | Medium上述分层架构在赋予灵活性与可扩展性的同时也引入多维度安全风险与攻击面。主要攻击面涵盖从指令源头的直接/间接提示词注入到鉴权环节的配置错误再到下游执行端的权限滥用与供应链投毒攻击。入口层指令伪造与配置缺陷。由于聊天场景如群组对话的开放性攻击者可利用信息噪音实施直接提示词注入绕过预设指令。网关API的鉴权强度直接决定后端安全边界错误权限配置将使API网关成为远程代码执行跳板。决策层逻辑操纵与记忆投毒。核心威胁在于针对大模型逻辑的提示词注入攻击者通过恶意对话诱导编排器偏离目标。更隐蔽的是记忆投毒在上下文或长期记忆中埋入恶意策略导致智能体后续决策产生持久性偏差。执行层高权限滥用与现实破坏。OpenClaw部署时尤其服务器环境通常具备高权限如root一旦被恶意指令利用将演变为灾难性系统控制风险。Skills与MCP插件增加受攻击频率恶意工具调用可能导致敏感数据泄露或对物理环境产生非预期影响。生态层供应链投毒与生态污染。ClawHub社区市场形成典型供应链风险。若缺乏严格代码审计与签名校验攻击者可发布含恶意提示词及代码的Skills插件实现代码投毒。用户一键加载后攻击者即可获得持久化驻留能力。OpenClaw在野资产暴露面与风险分析利用Nginx、Caddy等反向代理将OpenClaw Web面板映射至公网是当下主流便捷部署方式。它避免改动原生环境实现域名绑定、HTTPS启用等但也绕过内网隔离使大量实例直接暴露于互联网形成显著外部可见性。全网测绘数据显示OpenClaw在野资产短期内快速增长中国已反超美国成为全球最大部署区域。年初全球仅有少量实例随后迅速进入万级规模至2月中旬积累数万个。区域分布上中国资产量逐步反超美国截至发稿以约1.4万规模位居全球首位。Chinas Position In The AI Landscape资产规模快速扩张叠加安全短板使OpenClaw在野部署面临多维度高风险敏感行业资产如金融关键基础设施裸露于公网历史漏洞如反向代理配置错误导致未授权访问在公网资产中仍存同质化资产易引发批量风险关联权限扩大危害范围一旦失陷极易成为渗透内网、窃取核心数据的跳板。面对这一新兴且规模可观的安全暴露面亟需建立针对OpenClaw在野资产的发现与治理能力通过精准识别与动态监测实现风险早发现、早处置。二、OpenClaw高危漏洞案例分析OpenClaw作为典型的Vibe Coding项目代码层面存在多处安全薄弱点。Vibe Coding强调快速生成与迭代在效率优先下往往弱化系统化安全设计、威胁建模与严格审计易引入输入校验不足、鉴权缺失、敏感信息暴露等基础性问题。这些问题源于开发范式本身而非仅生态扩展。一OpenClaw错误反向代理配置产生的未授权漏洞2026年1月25日Twitter用户theonejvo发现OpenClaw在Nginx反向代理场景下产生未授权漏洞。OpenClaw对“本地连接”默认自动放行当部署于Nginx/Caddy等反向代理后所有请求在后端看来均来自127.0.0.1被视为可信本地连接。在未正确配置trustedProxies或强制认证的情况下任意用户可直接访问控制界面拥有代理配置、凭据存储、对话历史及命令执行等高权限最终导致AI智能体完全接管。No Linux? No problem. Just get AI to hallucinate it for you - Ars Technica二OpenClaw 1-click漏洞——修改网关地址CVE-2026-252532026年1月26日depthfirst公司发现漏洞app-settings.ts直接接受gatewayUrl查询参数并保存到存储中设置网关后立即触发连接操作将authToken发送到新网关握手中形成完整攻击链。受害者点击攻击者构造的钓鱼链接即可从窃取令牌到WebSocket连接本地端口最终实现任意命令执行。When MCP Meets OAuth: Common Pitfalls Leading to One-Click Account Takeover三OpenClaw命令注入漏洞CVE-2026-25157在SSH远程连接处理中存在两个命令注入问题ssh-tunnel.ts解析SSH目标字符串时未禁止以短横线“--”或“-”开头的主机名。攻击者可构造恶意SSH目标如-oProxyCommand...客户端将其解析为ssh命令行选项导致本地命令执行。What Is Command Injection? | Examples, Methods Prevention | Imperva此外OpenClaw GitHub仓库短期内积压超过6700个Issues维护响应滞后暴露出深层代码安全隐患。三、OpenClaw攻击面实战案例分析一风险案例1“以安全换便捷”对智能体的盲目信任放大恶意操纵风险高自主性AI智能体通过Skills插件深度集成操作系统与第三方服务持续持有上下文、凭据与执行权限。一旦缺乏实时校验与约束过度信任自主决策极易引发系统性风险。攻击者可通过构造恶意邮件实现间接提示词注入干扰邮件处理逻辑诱导智能体执行预置恶意指令。该模式近似“0-click”邮件触发型RCE接入外部信息源越多攻击向量越不可控邮件、网页、文件均可成为初始向量。Architecting secure Gen AI applications: Preventing Indirect Prompt Injection Attacks | Microsoft Community Hub部分用户将智能体直接用于高风险操作如AK/SK授权云服务器运维传统访问控制机制被结构性绕过。一旦智能体行为路径受污染影响将快速跨层传播至云基础设施。二风险案例2Skills插件系统供应链风险叠加隔离机制缺失放大投毒威胁ClawHub是OpenClaw官方Skills插件分发平台托管超3000个开源Skills支持CLI一键安装。上传门槛极低仅需GitHub账号上线初期缺乏有效安全审核导致大量恶意插件涌入。在采集的3000余个样本中识别出336个恶意投毒样本占比约10.8%。GitHub - microsoft/skills: Skills, MCP servers, Custom Agents, Agents.md for SDKs to ground Coding Agents · GitHub恶意Skills主要以“下载-执行”为核心通过Base64编码混淆远程脚本在本地解码后用curl下载并执行实现持久化控制。How Base64 Encoding Opens the Door for Malware - OPSWAT2026年2月7日OpenClaw官方与VirusTotal合作对3016个Skills进行自动化分析并下架恶意样本。但GitHub仓库历史备份仍保留部分恶意代码副本存在二次传播风险。GitHub - gabrie30/ghorg: Quickly clone or backup an entire org/users repositories into one directory - Supports GitHub, GitLab, Bitbucket, and more · GitHub四、总结OpenClaw作为现象级AI智能体应用创新在于将IM聊天与高自主性智能体深度结合大幅降低使用门槛让AI真正走向日常生产力。然而便捷性背后付出明显安全代价宽松权限架构、缺乏管控的插件生态、代码安全问题频发、“以安全换便捷”的设计理念以及Skills供应链风险。这些已从理论隐患转化为实际在野威胁。解决类OpenClaw AI智能体的共性安全风险关键在于构建全生命周期、系统性的安全围栏与评估能力。从设计阶段遵循最小权限原则运行时引入沙箱隔离强化输入过滤建立资产自动发现、持续风险评估与动态加固。只有将“评估围栏”贯穿整个生命周期才能让AI智能体从“高危实验品”转变为可信、可控的生产力基础设施。天元实验室-AI红队平台在OpenClaw等开源AI智能体爆发式增长的当下智能体安全已升级为系统级漏洞利用与运行时风险全链路挑战。绿盟科技AI红队安全评估平台以“攻击面智能生成→运行时自动化识别”的闭环能力助力企业快速构建立体防护体系。绿盟AI安全围栏NSFOCUS AI-Guardrails以模治模打造AI语义安全的新防线。The Convergence of AI and Data Security: An Industry-Wide Technoscope of Unified Agentic Defense Platforms绿盟AI安全围栏是一款面向大模型及智能体应用的专业安全防护产品针对多模态内容安全、敏感数据泄露、恶意提示词注入及算力滥用等风险提供实时在线检测与防护。产品严格对标国家安全规范已通过权威政务大模型安全测试并深度适配国产化算力芯片为政府、金融、能源等行业提供安全、合规、可靠的AI应用解决方案。五大安全模型联动集成内容价值观、提示词攻击、数据安全、算力DDoS检测及安全代答五大核心模型一站式覆盖AI交互全链路风险。以模治模深度智能防护通过自研安全模型从语义层面精准识别违规内容、攻击意图及敏感数据泄漏实现智能化深度对抗。满足严格合规要求通过工信首批大模型安全测试对标TC260标准显著降低AI应用违规风险。行业知识库自定义支持导入定制化敏感关键词与负向知识库实现精准检测。部署轻量灵活轻量化容器部署支持API快速对接策略可按业务场景精细配置。在AI智能体时代唯有安全与创新并重方能真正释放技术红利。建议个人与中小团队在试用阶段依托云服务沙箱环境进行全面测试切勿直接接入生产环境或家庭网络。