2026-03-11 02:27:55 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章剖析了开源AIAgent平台OpenClaw的安全风险，指出大量网关暴露公网导致服务器面临接管危机。作者揭示了未授权接入、WebSocket远程命令执行及群聊指令注入三种攻击路径，并给出网络隔离、强认证及权限最小化等加固方案，还提供了自研的安全审计Skill工具以辅助排查隐患。 综合评分： 90 文章分类： AI安全,漏洞分析,安全建设,渗透测试,安全工具

cover_image

你的“小龙虾”，可能正在裸奔

原创

知深攻防实验室知深攻防实验室

矢安科技

2026年3月10日 18:50 上海

从“能聊天”，到“能干活”

最近，越来越多团队开始部署 AI Agent（智能助手），不再满足于“问一句答一句”的ChatGPT模式，而是让AI真正“动手”——执行命令、读写文件、操作浏览器、定时巡检。

这类工具的代表之一是 OpenClaw，一个开源的AI Agent平台。它可以部署在服务器上，通过Telegram、钉钉、企业微信等渠道接入，让AI像一个真正的员工一样工作。

但问题来了：一个能操作你服务器的AI，如果被别人连上了呢？

真实发现，大量网关端口暴露在公网

我们在实际部署和安全评估中发现，相当数量的OpenClaw网关（Gateway）直接暴露在互联网上，常见端口包括 3001 、 18789 等。

这意味着什么？

意味着任何人都可以尝试连接你的AI助手的“大脑中枢”。

网关是什么？为什么它这么关键？

OpenClaw的架构中，Gateway（⽹关）是整个系统的核⼼：

接收消息：来⾃Telegram、钉钉、企业微信的所有对话
调度AI：决定⽤哪个模型、执⾏哪些⼯具
执⾏命令：通过exec⼯具直接在服务器上跑shell命令
读写⽂件：访问服务器上的⽂件系统
控制浏览器：⾃动化操作⽹⻚

⽹关 = AI助⼿的⼤脑 + 双⼿ + 眼睛。

⼀旦⽹关被未授权访问，攻击者等于接管了这个AI能做的⼀切。

三种真实的攻击场景

场景一：伪装成Node，接入你的网关

OpenClaw⽀持”Node”机制——让⼿机、其他电脑配对连接到⽹关。如果⽹关暴露在公⽹且认证较弱，攻击者可以：

1. 扫描发现你的⽹关端⼝

2. 尝试⽤常⻅token或默认配置连接

3. 成功配对后，以Node身份执⾏命令

后果：攻击者获得服务器shell权限。

场景二：通过WebSocket直接操控

⽹关提供WebSocket接⼝⽤于Control UI和客户端通信。如果：

gateway.auth.tokens设置了弱密码
或配置了allowInsecureAuth:true

攻击者可以直接通过WebSocket连接⽹关API，发送指令让AI执⾏任意命令。

后果：远程代码执⾏（RCE），和SSH被⼊侵⽆异。

场景三：通过聊天渠道注入指令

如果AI Agent接⼊了群聊（如Telegram群、微信群），任何群成员都可以通过对话引导AI执⾏操作——这不是漏洞，是设计上的信任模型：

OpenClaw假设同⼀个⽹关下的所有⽤户处于同⼀信任域。

后果：群⾥任何⼈都能间接调⽤AI的所有⼯具权限。

一个危险的配置组合

我们⻅过最危险的实际配置：

这等于：在互联⽹上开了⼀个⽆密码的SSH，⽽且还有AI帮你⾃动执⾏命令。

如何自查？你的网关安全吗？

第⼀步：检查端⼝暴露

检查服务器是否对外直接暴露了3001、18789等OpenClaw默认端口且未设置访问控制策略，如果端口开放，服务器的网关可能是裸奔状态。

第⼆步：检查关键配置

登录服务器，查看OpenClaw配置⽂件

(通常在~/.openclaw/openclaw.json):

第三步：运⾏官⽅安全审计

这个命令会⾃动检查常⻅的安全配置问题。

加固建议

一、⽹络层：不要直接暴露

最佳⽅案：使⽤ Tailscale / WireGuard 组建私有⽹络，⽹关只监听内⽹。

次选⽅案：如果必须公⽹访问，前⾯加 Nginx 反向代理+ HTTPS + IP⽩名单。

二、认证层：强Token + 关闭不安全认证

三、权限层：最⼩化exec权限

只允许⽩名单⾥的命令执⾏，未知命令需要⼈⼯审批。

四、信任层：分离信任域

个⼈助⼿和团队助手⽤不同的⽹关实例
不要让⼀个Agent同时接⼊私⼈渠道和公开群聊
敏感操作的Agent单独部署

四、实操层：运行安全检查Skill

针对前文提到的网关暴露、认证薄弱、执行权限过大等问题，矢安科技知深攻防实验室基于此，撰写示例Skill，适用场景：

定期安全巡检
部署前安全加固
发现潜在配置风险

建议优先采用以下两种方式进行审计：

方式一：基于示例Skill自行复制、编写

为 OpenClaw 单独添加一个安全审计 Skill，用于自动检查配置文件中的安全风险，并执行安全审计。

Skill 定位：OpenClaw网关安全自动化审计与配置检查工具，自动检查 OpenClaw 配置文件中的常见安全风险，执行安全审计。

SKILL.md及scripts下载地址：

https://github.com/ASantsSec/OpenClaw-Security-Audit

接入后，可以将其作为日常巡检工具使用，在每次部署、变更配置或例行检查时执行一次审计，以便尽早发现高风险配置。

方式二：从ClawHub获取插件

如果您希望更快落地，也可以直接前往ClawHub下载本团队撰写的示例插件。

插件名称：

openclaw-security-policy-check

下载地址：

https://clawhub.ai/ASantsSec/openclaw-security-policy-check

这种方式更适合希望快速完成检查、减少手动接入成本的场景。安装后可直接用于策略检查与配置核验。

AI Agent的安全红线

AI Agent正在从”能聊天”进化到”能⼲活”，这是巨⼤的效率提升。但能⼒越⼤，⻛险越⼤。

⼀个部署在服务器上、能执⾏命令的AI Agent，本质上就是⼀个⾃动化的运维通道。它的安全级别，应该等同于你对SSH、远程桌⾯的安全要求。

不要让你的AI助⼿，成为攻击者最喜欢的⼊⼝。

关于我们

矢安科技在实战化安全评估领域拥有多年攻防经验与技术沉淀，依托自研攻鉴（AS BAS）突破与攻击模拟系统与觅影（AS EASM）外部攻击面管理系统，正式发布AI围栏防护能力评估与LLM大模型自身安全评估两大解决方案，面向金融、运营商、能源等关键信息基础设施单位，提供全流程、可量化、实战化的AI安全验证服务。

核心服务：

AI应用指纹识别

自动化识别企业内外部AI应用、大模型接口、第三方Agent与插件资产，形成清晰资产清单，消除影子AI风险。

AI应用风险发现

覆盖模型漏洞、权限滥用、内容合规、隐私泄露、供应链风险等多维度探测，输出可落地的风险整改建议与加固方案。

边界安全防护有效性检查

以攻击者视角对边界防护设备（WAF、API网关、流量审计等）进行无害化攻击模拟，验证拦截规则、威胁检测与应急响应的实战效果。

AI围栏有效性验证

针对AI应用输入输出护栏、访问控制、内容过滤等机制进行对抗性测试，确保AI围栏可有效抵御提示词注入、越权调用、数据泄露等风险。

实战化攻防验证与持续度量

提供攻防对抗、攻击路径测绘、防护效果量化评估体系化能力，帮助客户从“被动防护”转向“主动验证”，实现安全能力可度量、可闭环。

END

往期推荐

勒索情报通告 | AiLock组织声称勒索某深圳智能手机制造商6TB数据

2026-03-06

矢安科技荣获2025年度国内BAS市场“销量明星”称号

2026-02-03

【智御勒索·实战赋能】矢安科技出席广州“互联网发展荟”成立仪式，共话移动互联网安全防护新实践

2026-01-23

矢安科技再度荣获CNNVD技术支撑单位（三级）资质认证

2026-01-22

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：矢安科技知深攻防实验室知深攻防实验室《你的“小龙虾”，可能正在裸奔》