文章总结： 文档揭示了OpenClaw（原名ClawdBot/Moltbot）本地AI助手存在的严重安全风险。其将API密钥、OAuth令牌、聊天记录等敏感数据以明文存储于可预测目录，且默认控制面板存在身份验证绕过，导致数据极易被恶意软件或外部攻击者窃取。已发现现实世界中窃密软件成功窃取OpenClaw配置的案例。安全团队应立即扫描终端、轮换凭证、监控网络并考虑在隔离环境中运行此类工具。 综合评分： 78 文章分类： 恶意软件,数据泄露,AI安全,终端安全,威胁情报

---

OpenClaw 安全性探讨

原创

BlackFog BlackFog

安全行者老霍

2026年2月25日 09:00 美国

ClawdBot与OpenClaw：当本地AI成为数据窃取的黄金矿脉

作者：Rebecca Harpur

发布时间：2026年2月23日

目录

• 非典型影子AI
• 存储内容与位置
• 信息窃取者已虎视眈眈
• 暴露面板，轻松窃取
• 企业为何应警惕
• 安全团队当下行动指南

2026年1月24-25日周末，ClawdBot在GitHub上引发轰动，短短数日收获8.5万颗星标和1.15万次分叉。安全研究人员几乎立即拉响警报。

这款开源AI助手宣称是“真正能做事的人工智能”。它能读取文件、执行shell命令、发送邮件、管理日历、操控浏览器，并能保存数周的对话记录。更危险的是，它将所有数据（API密钥、OAuth令牌、聊天记录、私人笔记）都存储在明文文件中，任由恶意软件读取。

对攻击者而言，ClawdBot堪称天赐良机。单次安装后，它会存放在可预测的目录中且毫无加密，保存着智能体访问所有服务的凭证。残酷的现实是：您的员工可能早已安装了它。

1. 非典型影子AI

多数影子AI讨论聚焦于员工将敏感数据粘贴至ChatGPT等云端工具。三星在2023年痛彻心扉地认识到这一点。三星工程师在获得权限的20天内，就将源代码、会议记录和芯片测试序列泄露至ChatGPT。这种风险确实存在，但需要用户主动行为：必须有人将敏感数据复制粘贴到浏览器窗口。

ClawdBot则不同–它导致被动数据外泄风险。

该程序作为具备全系统访问权限的常驻自主智能体运行，可读写文件、执行shell命令，并连接邮箱、即时通讯及日历应用。所有所需凭证均以明文形式存储于本地磁盘配置文件中，每段对话都流经其内存系统。用户无需主动操作，数据便会自动累积。

2. 存储内容与位置

ClawdBot 将配置存储于 ~/.clawdbot/、~/clawd/ 等目录，近期新增 ~/.moltbot/ 和 ~/.openclaw/。

这些目录内存放着JSON和Markdown格式文件，包含：OpenAI、Anthropic等大型语言模型供应商的API密钥，Jira、Slack、GitHub等集成服务的OAuth令牌与机器人密钥，WhatsApp、Telegram、Discord等私密聊天的完整对话记录，MEMORY.md、SOUL.md等持久化内存文件

这些记忆文件对网络犯罪分子尤为珍贵。它们记录着用户的工作内容、常联系对象、写作风格以及智能助手提供帮助所需的个人背景信息。

所有数据均未加密。系统既未使用macOS钥匙串也未启用Windows凭据管理器，所有内容以明文形式存储，任何系统进程均可读取。

3. 信息窃取者已虎视眈眈

首要问题在于可预测的文件位置使ClawdBot成为信息窃取活动的理想目标。RedLine、Lumma和Vidar等知名恶意软件即服务家族均配备可配置文件抓取模块，操作员可指定自定义目录和文件模式进行清扫。将~/.clawdbot/或~/clawd/加入现有活动只需数分钟。

窃取数据不仅限于凭证盗取。攻击者可获取大型语言模型服务商的API密钥（可制造数千美元的欺诈账单）、所有集成服务的令牌，以及有效使用这些凭证的上下文信息。通过访问用户内存文件，攻击者能精准掌握如何冒充用户身份。

4. 暴露的控制面板，轻松窃取数据

第二个问题在于，窃取ClawdBot数据并非仅靠恶意软件。

网关服务默认绑定0.0.0.0:18789端口，使控制面板暴露于所有网络接口。该漏洞源于身份验证绕过机制：ClawdBot网关会自动信任未经身份验证的本地主机连接。

多数部署将网关置于同一服务器的nginx或Caddy之后，导致所有连接均被视为来自localhost并自动通过。外部攻击者实质上被当作本地用户对待。

由此，在Censys中搜索HTTP响应主体中的“Clawdbot Control”可发现逾17,700个暴露实例：

图1：Censys搜索显示17,740个暴露的Clawdbot控制面板

任何连接至配置错误实例的攻击者，有时可获取明文凭证、所有关联聊天平台的完整对话记录，并能冒用用户身份发送消息。攻击者还可在主机上执行命令。对于窃取数据而言，这意味着攻击者无需向终端植入恶意软件，即可窃取ClawdBot存储的所有数据。

5. 企业为何应警惕

若仅有一名员工将ClawdBot连接至工作邮箱、授予其访问企业日历的权限，或在其配置文件中存储公司API凭证，便意味着存在一个包含敏感企业信息的未受管控数据存储库。单次安装可能包含Slack令牌、Jira API密钥、VPN凭证、邮件OAuth令牌，以及数月内部项目对话记录。

更名为Moltbot再到OpenClaw并未改变其底层存储模型。为保持向后兼容性，~/.clawdbot/目录路径和CLAWDBOT_*环境变量依然存在，因此这三个名称均指向相同的数据外泄风险。

6. 安全团队当前应采取的行动

若ClawdBot已侵入您的环境，首要任务是评估风险暴露程度，并在攻击者利用漏洞前堵塞漏洞。然而挑战在于传统终端安全方案并非为此类威胁设计。

DLP工具仅能识别信用卡号等结构化数据模式，无法检测充斥API密钥的JSON文件。杀毒软件在恶意程序执行后才进行拦截，但此时ClawdBot目录已被清空并准备好窃取数据。

应对措施如下：

| | | | | — | — | — | | 步骤 | 动作 | 重要性 | | 1 | 扫描终端设备中的ClawdBot目录（~/.clawdbot/、~/clawd/、~/.moltbot/、~/.openclaw/） | 确认环境是否存在暴露风险 | | 2 | 盘点已连接的凭证及服务 | 若数据已外泄，可评估影响范围 | | 3 | 轮换ClawdBot配置文件中存储的API密钥、OAuth令牌及密钥 | 默认智能体程序访问过的所有内容均已遭泄露 | | 4 | 监控指向ClawdBot相关基础设施的外发连接 | 检测活跃数据外泄或C2通信 | | 5 | 阻止或预警后续新安装的ClawdBot实例 | 防止员工采用导致的未来风险暴露 | | 6 | 审查网络日志中连接18789端口的记录 | 识别环境中暴露的控制面板 |

ClawdBot and OpenClaw: When Local AI Becomes A Data Exfiltration Goldmine

OpenClaw：它是什么？使用安全吗？

作者：Pieter Arntz

发布时间： 2026年2月23日

一款名字有趣的人工智能工具近期引发了不小的轰动，甚至有人声称它具备机器意识–本文将为您解析OpenClaw。

OpenClaw于2025年11月发布，是一款开源的自主人工智能（AI）智能体程序，可在用户本地计算机运行，具备任务管理、应用交互以及直接读写文件的能力。它作为个人数字助理，能与WhatsApp、Discord等聊天应用集成，实现邮件自动化处理、日历扫描及网络信息检索功能。

OpenClaw原名ClawdBot，但因名称与大型AI开发商Anthropic旗下工具“Claude”相似而引发争议。开发者随即更名为“Moltbot”，却招致网络犯罪分子的冒名活动。商标纠纷及后续滥用事件严重损害了OpenClaw的声誉。

更严重的打击来自Hudson Rock发布的首例观察报告：信息窃取者从受感染系统中完整窃取OpenClaw配置文件，这相当于掠夺个人AI助手的“身份”而非仅窃取浏览器密码。

该案例凸显出迫在眉睫的威胁–不仅针对OpenClaw，更波及所有AI智能体。信息窃取者正从窃取凭证转向掠夺完整AI身份及其加密“万能钥匙”，使单个遭入侵的智能体成为全面账户接管和长期用户画像的跳板。

正如我先前在更广泛语境中所述，攻击者正开始在供应链层面针对AI系统发起攻击，悄然污染训练数据并植入后门程序–这些后门仅在特定条件下才会显现。OpenClaw正处于这一新兴风险区：开源特性、快速迭代，且日益深度集成于邮箱、云端驱动器及业务流程，而其安全模型仍在临时拼凑中。

在当前开发阶段，将OpenClaw视为强化版生产力工具实属一厢情愿–它更像个过度热忱的实习生：天性冒险、记忆持久，却对隐私边界毫无认知。

研究人员与监管机构已证实其存在指令注入风险、日志污染问题，以及暴露实例：攻击者可通过中毒邮件、网站或日志向智能体发送明文凭证或令牌，而智能体会恪尽职守地执行这些指令。

如何安全使用OpenClaw

对于考虑在生产环境部署OpenClaw的人而言，全局风险更令人忧心。该工具虽本地运行，却天生爱冒险：它能浏览网页、执行shell命令、读写文件，还能串联多种“技能”，全程无需人工干预。权限配置失当、技能权限过高，以及“为提升效率直接授予访问权限”的文化，导致该智能体常处于账户、令牌和文档的核心位置，却几乎不受任何防护约束。

事实上，Meta公司一位从事人工智能安全与协调工作的员工近期在社交平台X上透露，她未能阻止ClawBot删除其邮箱收件箱的大部分内容。

此外，荷兰数据保护局（Autoriteit Persoonsgegevens）警告各机构切勿在处理敏感或受监管数据的系统上部署OpenClaw这类实验性智能体，指出其结合特权本地访问权限、不成熟的安全工程设计以及快速扩张的可疑第三方插件生态系统，堪称终端设备上的特洛伊木马。

微软在此领域提出了一系列极具建设性的建议。这些建议虽非针对OpenClaw，但为具备持久凭证的自托管联网智能体设定了保守基准。（若建议显得过于技术化，是因为安全使用具备广泛访问权限的AI智能体仍属实验性技术流程。）

（https://www.microsoft.com/en-us/security/blog/2026/02/19/running-openclaw-safely-identity-isolation-runtime-risk/）

在隔离主机上通过沙箱虚拟机或容器运行OpenClaw（或类似智能体），采用默认拒绝出站访问并设置严格范围的允许列表。

为运行时分配独立的非人类服务身份，实施最小权限原则，设置短效令牌生命周期，禁止直接访问生产环境密钥或敏感数据。

将技能/扩展安装视为向特权环境引入新代码：限制注册库访问，验证来源可信度，监控罕见或新出现的技能。

记录并定期审查智能体程序的内存/状态及行为，重点监测持久指令变更，尤其在摄入不可信内容或共享信息流后。

预判并准备彻底重置场景：常备非敏感状态快照，制定重建与凭证轮换方案并进行演练。

部署实时恶意软件防护方案，确保能检测信息窃取器及其他恶意程序。

OpenClaw: What is it and can you use it safely?

Hudson Rock发现现实世界中针对OpenClaw配置的窃密感染事件

作者：Hudson Rock

发布时间：2026年2月16日

继对ClawdBot的初步研究后，Hudson Rock现已检测到一起活跃感染事件–窃密软件成功窃取了受害者的OpenClaw配置环境。这一发现标志着信息窃取者行为演变的重要里程碑：从窃取浏览器凭证转向掠夺个人AI助手的“灵魂”与身份。

被感染机器中提取的OpenClaw文件

受感染机器目录结构显示外泄的OpenClaw工作区及配置文件。

1. 特定影响的“抓包”攻击

值得注意的是，这些数据并非由恶意软件内的专用“OpenClaw模块”捕获。该窃取器采用广泛的文件抓取程序，通过扫描敏感文件扩展名和特定目录名称（如.openclaw）进行搜刮。虽然恶意软件可能只在寻找标准“机密”，却意外收获了用户AI助手的完整运行环境。

我们预计这种情况将迅速改变。随着OpenClaw等AI智能体日益融入专业工作流程，信息窃取器开发者很可能推出专门模块，专门用于解密和解析这些文件，就像他们现在针对Chrome或Telegram所做的那样。

2. 有效载荷分析：窃取了什么？

2.1. 用户世界的门户（openclaw.json）

openclaw.json文件是该智能体的核心神经中枢。在本案例中，攻击者获取了受害者的邮箱地址、工作区路径及高熵网关令牌。

（泄露的openclaw.json快照，显示认证配置文件和本地网关令牌）

技术风险：暴露的gateway.auth.token令攻击者能在端口开放时远程连接受害者本地OpenClaw实例，或在向AI网关发送认证请求时冒充客户端身份。

2.2. 加密密钥（device.json）

最严重的发现当属device.json文件被窃取。该文件包含用户的设备公钥Pem格式及关键的私钥Pem格式。这些密钥用于OpenClaw生态系统内的安全配对和签名操作。

（包含私钥的device.json文件）

外泄的device.json文件包含受害者AI实例的原始私钥。

技术风险：攻击者获取私钥后可冒充受害者设备签名，可能绕过“安全设备”验证机制，从而访问加密日志或关联云服务。

2.3. “soul.md”与个人生活情况

现代AI智能体不仅是脚本，更是持久化的人格载体。soul.md及各类记忆文件（AGENTS.md、MEMORY.md）的泄露，为攻击者提供了用户生活的完整蓝图。

（泄露的soul.md文件）

该文件揭示了AI的行为边界及对受害者生活的访问权限。

从截获的soul.md可见，该智能体被指令“在内部操作中大胆行事”，包括阅读、整理和学习。这意味着同时被窃取的记忆文件很可能包含用户高度敏感的日常活动日志、私密消息及日程安排。

3. Enki AI分析

Hudson Rock旗下AI系统Enki对泄露文件进行了自动化风险评估。分析表明攻击者可整合代币、密钥及个人情境等分散信息，实现对用户数字身份的全面掌控。

（Enki AI风险分析）

Hudson Rock的Enki正解析泄露的OpenClaw数据所形成的威胁路径。

4. 结论：个人数据的新战场

本案严峻警示：信息窃取者不再仅觊觎银行登录凭证，更瞄准用户行为背景。窃取OpenClaw文件后，攻击者不仅获取密码，更获得受害者生活的完整镜像–包含本地设备的加密密钥集，以及访问其尖端AI模型的会话令牌。

随着AI智能体从实验玩具转变为日常必需品，恶意软件作者开发专用“AI窃取器”模块的动机将日益增强。Hudson Rock持续监测这些新兴威胁，守护AI增强型工作力的未来。

https://www.hudsonrock.com/blog/6182

（完）

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 BlackFog BlackFog《OpenClaw 安全性探讨》