文章总结： 该文档汇总了开源AI智能体OpenClaw近期爆发的安全风险与CVE漏洞。工信部已发布预警，指出其默认配置存在信任边界模糊与权限失控隐患，易致系统被控与数据泄露。文中列举了CVE-2026-25253等多个高危漏洞，涉及RCE、命令注入等，并强调提示注入与供应链攻击风险。建议用户立即升级至最新版本、实施网络隔离与权限加固，以规避高风险。 综合评分： 85 文章分类： 漏洞预警,AI安全,威胁情报,安全建设,漏洞分析

OpenClaw（俗称“龙虾”）近期安全漏洞与风险汇总

原创

助力行业的 助力行业的

李白你好

2026年3月10日 12:00 青海

OpenClaw（前身 Clawdbot/Moltbot）是一款开源个人AI智能体（AI Agent），支持本地私有化部署，能自主整合多渠道通信（如邮件、日历、消息App）与大语言模型，实现持久记忆和主动任务执行（如清邮箱、订服务、管理日程）。其图标为红色小龙虾，故在中文社区爆火，被称为“养龙虾”。2026年初GitHub星标数激增，成为现象级项目，但因“信任边界模糊”、高权限自主运行特性，安全风险迅速暴露。

官方最高级别风险提示

工业和信息化部网络安全威胁和漏洞信息共享平台监测发现：OpenClaw部分实例在默认或不当配置下存在较高安全风险，极易引发网络攻击、信息泄露、系统受控等问题。央视新闻等多媒体已转发提醒。

核心风险成因：

• 部署时信任边界模糊。
• AI具备持续运行、自主决策、调用系统/外部资源能力。
• 缺乏有效权限控制、审计机制和安全加固时，易被指令诱导、配置缺陷或恶意接管，执行越权操作。

影响：信息泄露、系统被控、网络攻击。 官方建议：

• 核查公网暴露情况，关闭不必要公网访问。
• 完善身份认证、访问控制、数据加密、安全审计。
• 管理好凭证，持续关注官方安全公告和加固建议。

此警告因“养龙虾”现象级爆火而紧急发布，适用于所有用户/单位。

已公开CVE漏洞汇总（2026年1-3月集中爆发）

项目早期快速迭代，安全机制滞后，1月底至3月初已披露多条高危漏洞（GitHub Security Advisories + NVD）。多数影响2026.1.29之前版本，部分更晚。核心问题：高系统权限（shell命令、文件读写、硬件访问）+ WebSocket/配置处理不当，导致远程接管或注入。

主要高危CVE（按披露时间/严重性排序）：

• CVE-2026-25253（CVSS 8.8，高危，2026.2披露）：Auth Token窃取 + WebSocket劫持 → 一键RCE。恶意网站（无需交互）可窃取令牌，接管本地Gateway，禁用沙箱后执行任意命令。全系统妥协风险极高。受影响：2026.1.29前所有版本。已修复：2026.1.29及以后。

• CVE-2026-24763（命令注入，Docker沙箱）：不安全PATH处理。修复：2026.1.29。

• CVE-2026-26327（认证绕过）：LAN内恶意服务广告（mDNS/Bonjour）窃取凭证。

• 近期新增（2026.2-3月）：

• CVE-2026-29610：命令劫持（unsafe PATH）。

• CVE-2026-28486：安装时归档提取路径穿越（Zip Slip）。

• CVE-2026-28470：Exec allowlist绕过（命令替换）。

• CVE-2026-29612：DoS（大Base64媒体解码缓冲区溢出）。

• CVE-2026-27486 / CVE-2026-28466 / CVE-2026-28456 / CVE-2026-27007 / CVE-2026-27484 等：进程清理、审批字段未净化、Hook约束、沙箱哈希、Discord moderation等缺陷。

此外还有ClawHub恶意技能供应链攻击（300+恶意插件）、40,000+实例公网暴露、明文API密钥泄露等非CVE事件。

修复版本建议：尽快升级至2026.2.19或最新（GitHub Releases）。旧版本风险极高。

| 漏洞编号 | 漏洞描述 | 影响版本 | 修复版本 | 严重性 (CVSS) | | — | — | — | — | — | | CVE-2026-29606 | Webhook签名验证绕过 ：当特定选项启用时，攻击者可伪造请求，绕过X-Twilio-Signature标头验证，未经授权处理Webhook事件，可能导致请求洪泛攻击。 | < 2026.2.14 | 2026.2.14 | 中危 (6.3) | | CVE-2026-28447 | 插件安装路径遍历 ：攻击者可构造包含路径遍历序列（如..）的恶意插件包名，诱导用户安装，从而将文件写入到预期目录之外，实现任意文件写入。 | 2026.1.29-beta.1 ≤ x < 2026.2.1 | 2026.2.1 | 高危 (7.0) | | CVE-2026-28481 | MS Teams附件下载器令牌泄露 ：当可选扩展被启用时，在重试下载失败请求时，会将Bearer令牌发送给不受信的主机，导致身份验证令牌被窃取。 | ≤ 2026.1.30 | 2026.2.1 | 中危 (5.9) |

其他常见风险（非CVE，但普遍存在）

• 提示注入（Prompt Injection）：恶意网页/消息可诱导AI删除文件、泄露凭证或执行有害命令。
• 无/弱沙箱：默认或不当配置下直接访问系统文件/命令/摄像头/屏幕。
• 第三方插件/技能：ClawHub或社区插件易引入后门。
• 消息App集成：攻击面扩大，恶意聊天可触发越权。
• 公网暴露：默认配置易被扫描接管（已有多起实例被控报道）。

这些风险叠加高权限特性，使OpenClaw成为“双刃剑”——便利性极高，但配置错误即成“后门”。

防护建议

1. 更新优先：npm i -g openclaw 或 GitHub拉取最新版，检查Release Notes。
2. 部署加固：

• 本地/内网运行，绝不公网暴露（除非严格反向代理+认证）。
• 启用沙箱、工具策略、exec allowlist。
• 最小权限原则：仅授予必要API/文件访问。
• 启用审计日志 + 定期审查。

1. 凭证管理：避免明文存储，定期轮换API Key。
2. 监控：关注GitHub Security Advisories（https://github.com/openclaw/openclaw/security）和MIIT平台。
3. 替代/测试：新手建议先在虚拟机/容器内测试；企业用户考虑沙箱强化或等待官方稳定版。

总结

OpenClaw的“主动自动化”能力极具创新性，但2026年初的爆火也暴露了安全短板。当前最大风险来自配置不当 + 未及时打补丁。严格按照官方建议部署并保持更新，即可大幅降低风险。建议普通用户在生产环境谨慎使用，优先本地测试环境“养龙虾”。如需最新动态，可直接查看项目GitHub Security页面或MIIT平台公告。

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：李白你好 助力行业的 助力行业的《OpenClaw（俗称“龙虾”）近期安全漏洞与风险汇总》