前言:养“虾”千万条,安全第一条
近期,开源AI智能体OpenClaw(曾用名Clawdbot、Moltbot)应用下载与使用情况异常火爆,国内主流云平台均提供了一键部署服务。这款应用能依据自然语言指令直接操控计算机,成为你不眠不休的日程管家。
但请记住一句忠告:你的Al心腹,可能是隐藏大患。越像你的分身,越需要你的信任;越需要你的信任,越值得警惕。
就在2026年3月10日,国家互联网应急中心(CNCERT)紧急发布了《关于OpenClaw安全应用的风险提示》。官方明确指出:为实现“自主执行任务”的能力,OpenClaw被赋予了极高的系统权限(包括访问本地文件系统、读取环境变量、调用外部API以及安装扩展功能等)。然而,其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权!
传统的黑客入侵,你顶多丢个密码。但如果OpenClaw被黑,被窃取的是你的“数字分身”,目前该应用已暴露出以下真实且惨痛的安全危机:
●设备沦为“肉鸡”(插件投毒风险):官方商店(ClawHub)里的大量功能插件(Skill)已被确认
为恶意插件。用户一旦安装,便会在后台静默执行窃取密钥、部署木马后门等操作,导致上千名用户的API密钥被洗劫一空。
·全盘接管与隐私看穿(安全漏洞风险):黑客利用已公开的高危漏洞(如ClawJacked),仅凭一
个恶意网页就能穿透本地。对于个人,这会导致照片、聊天记录、支付账户等隐私彻底裸奔;对于企业,则会直接造成核心商业机密、代码仓库泄露,甚至让整个业务系统陷入瘫痪。
·无差别破坏(误操作与提示词注入):攻击者在网页中构造隐藏指令,能轻易诱导OpenClaw读取
并交出系统密钥。即便没有黑客,由于AI对指令的错误理解,也曾发生过Meta安全专家的AI突然“暴走”,无视停止指令,疯狂彻底删除数百封重要工作邮件和核心生产数据的惨剧。
面对这只拥有高权限的“赛博龙虾”,默认信任的每一步都可能变成致命后门。不想在AI时代“裸奔”?面对新型威胁,360为你量身定制了这份实操指南。你不需要成为专家,只需跟着指南,落实网络控制隔离、凭证加密管理与插件严管,就能给你的OpenClaw穿上坚固的装甲。
第一章拆解“龙虾”:运作机制与七大风险全景图
要理解OpenClaw的安全风险,首先需要了解它在本地设备上的运作方式。
1.1架构拆解:OpenClaw到底是怎么运作的?
OpenClaw的核心架构可概括为:网关(Gateway)统一管理消息收发与路由;多个智能体(Agent)提供任务处理能力;工具(Tool)与节点(Node)负责具体的物理执行。常驻后台的Gateway如同整个系统的控制塔:一方面连接着WhatsApp、Telegram、Slack、Discord等聊天应用,将各类消息转换为统一格式。另一方面通过WebSocket总线接入CLI、Web控制台等“遥控器”,以及iOS/Android/macOS等节点,作为工具的执行载体。在Gateway内部,消息首先经过路由模块,根据预设规则精准投递给对应的Agent——相当于为用户配备了一组职责各异的专属助理。最终的具体操作由工具和节点完成。用户与OpenClaw的每一次对话,背后都运行着一套统一的消息总线与多Agent协同处理的机制。
1.2步步惊心的“七大安全风险”
OpenClaw层层递进的复杂架构,让其在拥抱便利的同时,也将一系列前所未有的安全风险暴露在攻击者面前,每一个环节都可能成为攻击者的突破口。
.公网暴露风险:若未正确启用身份认证、访问控制或网络隔离,管理接口可能直接暴露在公网,容易被扫描工具轻松发现并遭到未授权访问。
.身份凭证与敏感数据泄露风险:OpenClaw访问外部工具离不开API Key、OAuth授权、SSH密钥等。这些凭证一旦泄露,攻击者甚至可以直接冒用合法身份,控制智能体调用外部资源,接管整个执行链路 。
.工具调用越权风险:真正危险的是智能体背后接入的邮箱、浏览器、Shell等工具。这些工具默认继承了用户的高权限—一旦模型被轻微诱导,就可能把“建议”直接变成“执行”。
.提示词注入攻击风险:如果外部网页、邮件被嵌入隐性恶意指令,就可能在不经意间“催眠”Al,使其执行非预期操作。
.记忆投毒风险:一旦错误信息、恶意偏好或伪造规则被写入记忆模块,它可能在后续任务中持续生效,形成隐蔽、持久、跨会话的风险。
.智能体供应链风险:引入缺乏审计的第三方扩展,攻击者可通过供应链投毒,将恶意代码或后门嵌入智能体执行链路,进而引发远程控制。
.智能体间协同失控风险:如果目标约束不完整,一个错误判断就可能在多个智能体之间传递、放大,最后形成级联失控。
对这七大风险,下面我们正式进入实操部署,将它们逐一击破。
.3360推荐的OpenClaw安全四原则
对上述复杂多变的特有风险,在后续的实操部署中,我们将始终贯穿360提倡的安全铁律:
铁律一:最小权限。坚决抵制使用最高管理员(Root)权限运行。
铁律二:运行隔离。必须运行在一个受限的Docker沙箱或虚拟机中。
铁律三:全程可审计。每一次高危调用必须有迹可循。
铁律四:持续更新补丁。OpenClaw早期版本存在致命漏洞(如CVE-2026-25253),绝不能长期停留在旧版本,必须定期拉取最新镜像以修复0-day漏洞。
第二章完成安全部署(核心实操)
许多新手以为,把OpenClaw部署在本地,只要不开放公网端口(只监听localhost)就万事大吉了。
明确警告:只监听“localhost”不是护身符,浏览器本身就可能成为攻击跳板。真实的ClawJacked漏洞表明,只要你不小心点开一个带毒的网页,恶意代码就能利用浏览器直接穿透到本地,操控你的OpenClaw。
能力组合决定了攻击面的大小。当AI拥有了强大的分析能力、高度的自治权和系统级权限时,只要一个微小的漏洞,就会引发灾难。因此,我们必须用“物理沙箱”将它死死锁住。
本文来自知之小站
报告已上传百度网盘群,限时15元即可入群及获得1年期更新
(如无法加入或其他事宜可联系zzxz_88@163.com)
