🦞 OpenClaw 安全避坑指南这只"龙虾"到底是神器还是木马?深度拆解一文搞懂 CVE漏洞 + 恶意技能 + 防护清单
🦞 OpenClaw 安全避坑指南这只"龙虾"到底是神器还是木马?
🦞 OpenClaw 安全避坑指南
这只"龙虾"到底是神器还是木马?深度拆解
一文搞懂 CVE漏洞 + 恶意技能 + 防护清单
⚡ TL;DR 三分钟速览
🚨 现状:GitHub 20万+ Stars,但已发现 1184+ 恶意技能,13.5万+ 实例公网暴露
⚠️ 高危漏洞:CVE-2026-25253(CVSS 8.8)一键RCE,点个链接就被黑
🎭 供应链攻击:ClawHavoc 行动,335个技能来自同一黑客,专偷加密货币
✅ 防护核心:升级到 v2026.2.21+,只用官方53个技能,关端口、开认证、用沙箱
最近有个朋友找我诉苦:"我的 API Key 被盗了,Anthropic 账单飙了 500 刀"。一问才知道,他装了个叫 OpenClaw 的 AI 助手,给了 Shell 权限,结果……
这玩意儿两周从 0 冲到 14.5 万 Stars,现在已经 20万+,比 React 还火。但它的安全问题,说实话,能把安全从业者吓出冷汗。
✦ ✦ ✦
一 OpenClaw 到底是个啥?
先说人话:OpenClaw 是一个能帮你"干活"的 AI 助手。
普通聊天机器人只能动嘴皮子,OpenClaw 能动手。它可以:
1 执行 Shell 命令(rm -rf 什么的都行)
2 读写你的文件(.env、SSH Key、啥都能看)
3 接管你的邮箱、日历、Slack、微信(对,它真能发消息)
4 7×24 小时无人值守运行
"If you can't understand how to run a command line, this is far too dangerous of a project for you to use safely."
「如果你不懂命令行,这个项目对你来说太危险了,别碰。」
—— OpenClaw 官方维护者 Shadow
打个比方:普通 AI 是你的「嘴替」,OpenClaw 是你的「影子」——它能用你的身份,做你能做的一切事情。
⚠️ 重点来了:这玩意儿曾叫 Clawdbot(因为蹭 Claude 被 Anthropic 律师函警告),又改叫 Moltbot,最后定名 OpenClaw。两个月换了三次名——光看这折腾劲儿,你就知道它有多"野"。
✦ ✦ ✦
二 到底有多危险?数据说话
💀 1. 致命漏洞 CVE-2026-25253
这是个啥?用大白话说:
🔥 漏洞原理(人话版)
OpenClaw 有个控制面板,你得登录才能用。但它有个智障设计:
✦ 你登录后访问任何网页
✦ 网页里藏了一段恶意代码
✦ 代码偷走你的登录令牌(Token)
✦ 黑客用这个令牌完全控制你的电脑
而且!就算你只在 localhost 跑,也会中招!
CVSS 评分 8.8 分(满分 10 分),属于"高危"级别。
📊 受影响范围(截至 2026年2月)
4.2万+ 实例公网暴露(SecurityScorecard 扫描)
5,194 个实例确认存在漏洞
93.4% 可以绕过认证直接进入
✅ 已修复:v2026.1.29 版本(2026年1月30日发布)
🎭 2. ClawHavoc 供应链投毒
OpenClaw 有个技能市场叫 ClawHub,类似 npm 或者 App Store。你可以下载各种"技能"来扩展功能。
问题来了:这玩意儿几乎不审核。
💀 ClawHavoc 攻击复盘
✦ 发现数量:1,184 个恶意技能(占市场 20%)
✦ 幕后黑手:单个用户 "hightower6eu" 上传 354 个
✦ 下载量:近 7,000 次(仅 hightower6eu 的)
✦ 目标:加密货币用户(钱包私钥、交易所 API)
✦ 手法:伪装成 ByBit、Polymarket 等知名工具
🔗 感染链(一步步带你踩坑)
Step 1
你搜 "solana-wallet-tracker",看起来很正规
Step 2
安装时弹窗:"请运行此命令完成设置"
Step 3
你以为是正常流程,复制粘贴执行
Step 4
实际运行的是 base64 -d | sh,下载木马
Step 5
AMOS 信息窃取器开始干活:密码、密钥、浏览器数据,全部打包带走
"This is the ClawHub version of 'ClickFix' — attackers convince victims to execute commands that install malware."
「这就是 ClawHub 版的社工攻击——让受害者自己执行安装恶意软件的命令。」
🔓 3. 密钥裸奔问题
OpenClaw 默认把你的 API Key、OAuth Token 存在本地文件里,而且是明文!明文!明文!
~/.openclaw/openclaw.json
~/.openclaw/.env
~/.clawdbot/device.json
任何能访问这些文件的程序——包括恶意技能、木马、或者你不小心 commit 到 GitHub 的——都能看到你的:
✦ Anthropic / OpenAI API Key(烧钱神器)
✦ OAuth Token(邮箱、日历、Slack 全完蛋)
✦ 设备配对密钥(直接远程控制你电脑)
🧠 4. 提示注入攻击
这个最骚。因为 OpenClaw 是 AI 驱动的,所以它天生有个弱点:Prompt Injection。
🎯 攻击场景举例
✦ 你让 OpenClaw 帮你总结一篇网页
✦ 网页里藏了一段"隐形指令"
✦ AI 把这段指令当成你的命令执行
✦ 然后它可能创建后门、泄露数据、甚至给你的 Telegram 发消息
更恐怖的是:OpenClaw 有持久记忆。恶意指令可以"潜伏"在记忆里,等以后再触发。
"With persistent memory, attacks are no longer just point-in-time exploits. They become stateful, delayed-execution attacks."
「有了持久记忆,攻击不再是一次性的。它们变成了有状态的、延迟执行的攻击。」
—— Palo Alto Networks 研究报告
✦ ✦ ✦
三 "致命三角":为什么 OpenClaw 天生危险
安全研究员 Simon Willison 提出了一个概念:Lethal Trifecta(致命三角)。
当一个 AI Agent 同时具备这三个特性时,就天生不安全:
1 能访问私有数据(邮件、文件、密钥)
2 会接触不可信内容(网页、邮件、用户输入)
3 能对外通信(发消息、调 API、传文件)
OpenClaw 三条全中。
Palo Alto Networks 的研究更狠——他们把 OpenClaw 对照 OWASP Top 10 for Agentic Applications(AI Agent 安全十大风险),发现十条全命中。
🤔 打个比方:这就像你雇了一个超级能干的管家,给他配了家里所有钥匙、银行卡密码、电脑权限。他确实能帮你干很多事——但如果有人能骗他,或者他被调包成坏人,你整个家就完了。
✦ ✦ ✦
四 保命指南:怎么安全地用这只龙虾
如果你非要用(或者公司里有人在偷偷用),这里是保命三板斧:
🔴 Tier 1:最低生存线(不做等于裸奔)
1升级!升级!升级!至少 v2026.1.29,推荐 v2026.2.21+
2关掉公网暴露:绑定到 127.0.0.1,别用 0.0.0.0
3开认证:设置强 gateway.auth.token(至少 32 位随机字符)
4改默认端口:别用 18789,换个随机端口
5防火墙封端口:ufw deny 18789
🟠 Tier 2:标准防护(大多数人该停在这里)
1用 Docker 隔离:别直接跑在主机上
2环境变量存密钥:别把 API Key 写在配置文件里
3只用官方 53 个技能:ClawHub 第三方的别碰
4开执行审批:敏感操作需要你手动确认
5用强模型:别用便宜的本地小模型,它们更容易被骗
🟣 Tier 3:企业级防护(处理敏感数据必看)
1网络隔离:单独 VPS / VM,与业务系统物理隔离
2VPN/Tailscale 访问:不直接暴露任何端口
3配置文件加密:用 chattr +i 锁定关键文件
4操作日志审计:记录所有执行的命令
5出站流量监控:检测异常外连
💻 救命命令速查
查看暴露端口:
sudo ss -tlnp | grep 18789
安全审计:
openclaw security audit
防火墙封端口:
sudo ufw deny 18789 && sudo ufw deny 18793
检查配置文件权限:
chmod 600 ~/.openclaw/*.json
✦ ✦ ✦
五 避坑指南:这些蠢事别干
❌ 作死行为清单
✦ 把 OpenClaw 配置文件 commit 到 GitHub(你的 API Key 会被全网扫描)
✦ 在公司电脑上偷偷装(Shadow AI 的典型,出事你背锅)
✦ 给它接入真实的邮箱/Slack(它能以你的名义发消息,发出去就收不回来)
✦ 让它访问加密货币钱包或交易所(黑客最爱的目标)
✦ 用便宜的本地模型跑(越弱的模型越容易被骗)
✦ 登录控制台后乱点网页(CVE-2026-25253 就是这样中招的)
✅ 正确姿势
✦ 用专门的 VPS,别和生产环境混一起
✦ 创建专用低权限账号运行 OpenClaw
✦ 每次安装技能前,先看源码
✦ API Key 设置消费上限(烧完就停)
✦ 定期轮换所有密钥和 Token
✦ 如果怀疑被黑,立刻轮换所有凭证,别犹豫
"If your model provider supports spending limits, set them. This is the cheapest 'oh no' protection you can buy."
「如果你的模型供应商支持消费上限,赶紧设。这是最便宜的'噢不'保险。」
✦ ✦ ✦
六 安全自检 SOP Checklist
照着这个表逐项检查,全部打 ✅ 才算及格:
🔴 基础安全(必须全部完成)
□ 版本 ≥ v2026.1.29(推荐 v2026.2.21+)
□ 网关绑定到 127.0.0.1,不是 0.0.0.0
□ gateway.auth.token 已设置且强度足够
□ 防火墙已封锁 18789 和 18793 端口
□ openclaw security audit 无严重警告
🟠 凭证安全
□ API Key 通过环境变量注入,不在配置文件中
□ ~/.openclaw/ 目录权限为 700
□ 所有 .json 和 .env 文件权限为 600
□ 没有把配置文件 commit 到版本控制
□ API Key 设置了消费上限
🟣 技能安全
□ 只使用官方内置的 53 个技能
□ 已禁用自动技能更新
□ 任何第三方技能安装前已审查源码
□ 拒绝执行任何"复制此命令到终端"的指引
🟢 运行时安全
□ 使用 Docker 容器运行(或 VM 隔离)
□ 敏感操作需要手动审批
□ 使用 Claude/GPT-4 等强模型(不用弱本地模型)
□ 已启用会话和操作日志
□ 登录控制台时不访问不可信网站
🔵 企业级(如果在公司用)
□ IT 部门知道你在用这个
□ 与生产网络物理隔离
□ 仅通过 VPN/Tailscale 访问
□ 有应急响应预案
□ 定期进行安全审计
✦ ✦ ✦
🎯 一句话总结
OpenClaw 确实很强,能让 AI 真正"干活"而不只是"聊天"。
但它的安全模型还在"蜕壳期"——能力很强,壳还没长硬。
如果你要用,请把它当成一个拥有超级权限的陌生人来对待——给最小权限,做最大防范。
"The lobster has to shed its shell to grow. While shedding, it's most vulnerable. But without shedding, there's no growth."
「龙虾想长大就得蜕壳。蜕壳时最脆弱,但不蜕壳就长不大。」
—— Peter Steinberger(OpenClaw 创始人)谈"龙虾之道"
💬 你用过 OpenClaw 吗?
评论区聊聊你的使用体验和踩坑经历
觉得有用的话,转发给你身边在用的朋友
📚 参考来源:
1. Dark Reading - Critical OpenClaw Vulnerability Exposes AI Agent Risks
2. Conscia - The OpenClaw Security Crisis
3. SecurityScorecard STRIKE Team Research
4. Trend Micro - Malicious OpenClaw Skills Analysis
5. Koi Security - ClawHavoc Campaign Report
6. 奇安信 - Clawdbot(OpenClaw)高危风险深度解析
参考原文链接:
1. https://www.darkreading.com/application-security/critical-openclaw-vulnerability-ai-agent-risks
2. https://conscia.com/blog/the-openclaw-security-crisis/
3. https://securityscorecard.com/blog/what-are-the-real-security-risks-of-agentic-ai-and-openclaw/
4. https://www.trendmicro.com/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html
5. https://thehackernews.com/2026/02/researchers-find-341-malicious-clawhub.html
6. https://www.hostinger.com/tutorials/openclaw-security
7. https://www.bitsight.com/blog/openclaw-ai-security-risks-exposed-instances
8. https://docs.openclaw.ai/gateway/security
9. https://www.qianxin.com/news/detail?news_id=14490
10. https://en.wikipedia.org/wiki/OpenClaw
⚠️ 免责声明:本文所有信息均来自公开网络资源,仅供学习参考。安全建议基于截至 2026 年 2 月的公开信息,请以官方最新文档为准。使用任何工具的风险由用户自行承担。
🦞
— END —