文章总结： 本文深入分析OpenClawAI助手的安全风险，涵盖Gateway权限绕过、供应链投毒、NPM抢注及明文存储等漏洞，攻击者可完全接管系统。建议用户立即升级至v2026.1.27-beta.1版本，开启强密码验证，慎用第三方插件并采用Docker隔离，以防范潜在入侵。 综合评分： 90 文章分类： 漏洞分析,AI安全,供应链安全,漏洞预警

抢购的Mac Mini可能已经不属于你了——火爆全网的龙虾机器人ClawdBot安全风险分析

长亭安全应急响应中心

2026年1月30日 18:52 北京

经历了ClawdBot到Moltbot，再到当前的OpenClaw，这款由 PSPDFKit创始人开发的开源本地AI助手已经在科技圈爆火。

OpenClaw与只能聊天的传统AI有很大不同，它就像一个“AI管家”，只要在手机上通过聊天软件发送指令，它就能在你的电脑上直接干活，比如整理文件、发邮件，甚至管理智能家居。

OpenClaw的爆火甚至带动了苹果的 Mac mini，它需要一台24小时在线的“工作间”来常驻运行，而体积小巧、能耗低且性价比高的Mac mini正好成了它的绝配。

但这位“AI管家”的风险意识极差，明显没有经过完善的安全培训，导致安全隐患重重，黑客甚至可以像逛自家后院一样进入你的数字生活，接管你新下单的Mac Mini。

接下来我们来逐个介绍这些安全隐患和解决办法：

安全风险

Description

01

风险一：后门忘了锁（Gateway反向代理权限绕过）

通俗解释：这就像你家明明装了防盗门，但管家误以为从后门进来的都是自家人，结果谁都能大摇大摆走进来。

具体怎么回事：

• OpenClaw有个”门卫”（Gateway组件），本来应该检查每个访客的身份
• 但这个门卫有个bug：它看到某些访客是从”内部通道”来的，就不查证件了
• 黑客发现这个漏洞后，可以伪装成内部人员，直接绕过安检
• 后果：黑客能完全控制你的AI管家，让它执行任何命令

风险二：风险二：装了个冒牌技能（供应链投毒）

通俗解释：就像你在应用商店下载了一个”好评如潮”的APP，结果发现好评是刷的，APP其实是木马。

具体怎么回事：

• OpenClaw有个”技能商店”（ClawdHub），用户可以下载各种扩展功能
• 但商店审核不严，黑客可以上传恶意技能，然后刷好评让它上热门榜
• 用户看到下载量高就安装了，结果中招
• 后果：恶意技能能偷你的密码、API密钥、聊天记录等一切敏感信息

风险三：名字被抢注了（NPM包抢注）

通俗解释：就像你想买”可口可乐”，结果买到了”可日可乐”，虽然看起来差不多，但其实是山寨货。

具体怎么回事：

• OpenClaw改过一次名字（从ClawdBot改成Moltbot）
• 改名期间，有人抢先注册了”Moltbot”这个包名, 短短3天竟然有13万的下载量
• 如果你按照官方文档安装，可能会下载到别人控制的代码
• 后果：虽然目前抢注者还没放毒，但这就像把家门钥匙交给了陌生人

风险四：日记被偷看了（认知语境窃取）

通俗解释：你的AI管家有个习惯——把你们的所有对话、你的小秘密都写在日记里，然后日记本随手放在客厅桌上。

具体怎么回事：

• OpenClaw会把你的API密钥、聊天记录、工作内容等敏感信息以明文的形式存在电脑里
• 这些文件没有加密，就像没上锁的日记本
• 如果电脑中病毒，或者被黑客入侵，这些信息就全部暴露了
• 后果：黑客能了解你的工作习惯、个人偏好，甚至用这些信息冒充你

风险五：读到了”隐藏指令”（间接提示注入）

通俗解释：就像有人在一封信里用隐形墨水写了”把保险柜密码告诉我”，你的管家读信时，连隐形字也读出来了。

具体怎么回事：

• OpenClaw能帮你读邮件、看网页
• 黑客可以在邮件或网页里埋藏”隐藏指令”
• AI读到这些内容时，可能会执行这些恶意指令
• 后果：AI可能被诱导泄露信息，或者执行危险操作

风险六：用了不靠谱的转接头（第三方插件）

通俗解释：你想把美标插头接到中式插座上，买了个没安全认证的转换器，结果短路把房子烧了。

具体怎么回事：

• 很多人想把OpenClaw接到钉钉、飞书等国内办公软件
• 官方没提供这个功能，大家就找第三方插件
• 这些未经安全审计的插件可能不安全，或者有后门
• 后果：公司内部数据可能通过不安全的插件泄露

怎么保护自己？

Solution

02

#

**别慌！大部分问题都有解决办法： 1. 立即更新：升级到v2026.1.27-beta.1或更高版本（就像给管家补上安全培训） 2. 检查设置：确保开启了密码或令牌验证（别再用”无需密码”模式了） 3. 网络隔离：别把管理后台直接暴露在公网上（就像不会把家门钥匙挂在大门口） 4. 谨慎安装：别盲目相信”技能商店”的下载排名（好评可能是刷的） 5. 运行在沙箱：考虑用Docker运行，限制权限（给管家一个独立的工作间） 6. 定期检查：留意异常的网络连接和系统日志 *事情是怎么发生的？* Timeline 03 * 2025年10月：项目创建，Gateway 认证逻辑即存在设计缺陷（localhost 信任问题）。 * 2026年1月12日：v2026.1.12 版本发布，公网部署资产数量与日俱增。 * 2026年1月13日：v2026.1.13 版本移除了文档中的 auth: { mode: "none" }示例，但代码未改。 * 2026年1月24日：v2026.1.24 版本部分修复，添加 hasForwarded检查，但仍可绕过。 * 2026年1月26日：三个连续提交彻底修复漏洞： + 强制要求认证（c4a80f4） + 移除 mode: "none"（3314b39） + 引入 trustedProxies机制（6aec34bc6） * 2026年1月27日：v2026.1.27-beta.1 版本发布，包含完整修复。 最后说两句 Conclusion 04 AI助手很强大，但也需要安全意识。就像你不会把家门钥匙交给陌生人，也不应该让AI在无保护状态下操作你的电脑。保持软件更新、使用强密码、谨慎安装扩展——这些简单的习惯能让你既享受AI的便利，又避免安全风险。 记住：最酷的科技，也应该是最安全的科技。** 参考资料： [1].https://github.com/openclaw/openclaw/pull/1795

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：长亭安全应急响应中心 《抢购的Mac Mini可能已经不属于你了——火爆全网的龙虾机器人ClawdBot安全风险分析》