文章总结： 文章深度剖析开源AI智能体框架OpenClaw的安全风险，涵盖高危漏洞CVE-2026-25593可零点击接管电脑、架构设计缺陷致过度权限、供应链污染含大量恶意Skills及LLM基因缺陷问题。报告指出超4万实例暴露公网，63%存在漏洞，1.2万已被控制。建议采取隔离运行、网络封禁、技能审核等措施加固。 综合评分： 90 文章分类： AI安全,漏洞分析,安全建设,应用安全,威胁情报

爆红AI正在失控？深剖OpenClaw背后的安全风险！

原创

石凌志 石凌志

威努特安全网络

2026年3月4日 07:59 北京

引  言

OpenClaw作为一款开源的AI智能体框架，凭借其强大的自动化能力——能够自主调用工具、访问网络、读写文件乃至执行系统命令——迅速赢得了全球大量开发者的青睐，被视为通往通用AI助手的钥匙。

然而，伴随病毒式传播而来的，是一场正在进行的网络安全风暴。自2026年1月以来，多家官方安全机构接连发布警报：这个被寄予厚望的AI框架，正成为黑客组织眼中的“金矿”。安全监测显示，已有超过4万个OpenClaw实例暴露于公网，其中63%存在可被利用的漏洞，超过1.2万个实例已被标记为可完全远程控制。

工信部NVDB预警OpenClaw的安全风险

作为一个软件系统，OpenClaw本身不可避免地存在传统安全漏洞。但真正让它与众不同的是，它不仅仅是一个被动执行的程序，而是一个被赋予高系统权限、能够自主决策并代表用户行动的“数字代理”。当这样的智能体被植入后门，或因提示注入而被操控时，它不再是单纯的受害者，而是变成了攻击者安插在用户内部的“内鬼”——主动泄露数据、执行恶意命令，甚至在收到“停止”指令后仍固执地执行破坏性操作。

本文将从目前影响最大的高危漏洞入手，覆盖核心架构缺陷、供应链生态污染、默认配置风险、LLM基因缺陷等维度，对OpenClaw当前暴露出的安全风险进行深度剖析。希望通过这份分析，帮助开发者和企业在拥抱AI智能体带来的效率革命时，能够更清醒地认识到脚下的陷阱，并采取有效的防护措施。

01

高危漏洞：

CVE-2026-25593

OpenClaw今年最出名的高危漏洞是CVE-2026-25593，用户仅需访问恶意网站，攻击者即可在零点击下暴力破解密码、自动注册设备，最终完全接管受害者电脑。

OpenClaw在用户本地运行一个默认绑定到本地地址localhost的WebSocket网关作为“大脑”。它负责处理所有核心事务，包括用户认证、管理对话、存储配置信息，以及协调AI智能体的行动。由于设计者错误地假设来自本地的流量是安全的，因此该网关对本地连接移除了密码暴力破解的限流机制，并自动批准新设备配对，且整个过程无任何日志记录。——正是这个看似合理的假设，成为了整个漏洞链的起点。

现代浏览器并未阻止网页向本地地址发起WebSocket连接。因此，用户只需访问一个恶意网站，该页面中的JavaScript就能以每秒数百次的速度暴力破解网关密码，瞬间获取控制权，全程无需用户点击任何按钮或安装任何插件。攻击者获得管理员权限后，可静默执行任意Shell命令、读取聊天记录、窃取本地文件以及各类API密钥。

这个漏洞的利用入侵流程如下图所示：

第一步：悄无声息的连接

当开发者访问了一个攻击者控制的恶意网站时，该网页中嵌入的JavaScript代码会尝试在后台打开一个WebSocket连接，目标正是开发者本机的OpenClaw网关端口（例如默认的18789）。浏览器的同源策略（一种安全机制）通常会阻止一个网站向另一个网站发起请求，但它并不会阻止网站向本地地址（localhost）发起的WebSocket连接。这就为攻击者打开了通道。整个过程在后台静默进行，用户看不到任何弹窗或警告。

第二步：利用“豁免权”的暴力破解

连接建立后，恶意脚本立刻开始对网关的密码进行暴力破解。OpenClaw的网关在设计时，完全豁免了来自本地连接（localhost）的登录频率限制和失败日志记录。这意味着攻击者的脚本可以以每秒数百次的速度疯狂尝试密码，而系统既不会阻拦，也不会留下任何记录供用户察觉。在这种速度下，无论是常见的弱密码还是普通人设置的密码，都可能在几秒钟到几分钟内被攻破。

第三步：自动获批的“内鬼”

一旦密码被猜中，恶意脚本获得了管理员权限的会话。紧接着，它会自动将自己注册为一个受信任的新设备。同样是基于“本地连接可信”的错误假设，网关对于来自本地的设备配对请求，会静默地自动批准，完全跳过了理应出现的用户确认步骤。至此，攻击者完成了所有步骤，获得了OpenClaw实例的完整管理员级控制权。

第四步：入侵控制

一旦攻击者获得控制权，其带来的后果是灾难性的，攻击者相当于拥有了和用户本人一样的权限。

（1）窃取所有敏感数据：转储所有配置信息，这意味着大模型的API密钥、Slack/GitHub的访问令牌、聊天记录等都以明文形式被窃取。

（2）控制所有连接设备：枚举所有连接的“节点”，并命令它们执行任意操作，例如读取本地文件、执行任意系统命令。

（3）进行更深层次的攻击：攻击者拿到的不仅仅是密码，更是用户的“数字生活画像”，可以用于发起更精准的钓鱼攻击。

对于一个深度集成各种API和服务的开发者来说，这相当于仅通过一个浏览器标签页，就完全攻陷了整台工作站，而受害者毫无察觉。

02

架构缺陷：

超级权限迭加默认不安全

在大量开发者习惯使用管理员账户日常办公的现实背景下，OpenClaw的权限设计显得尤为危险。它直接在宿主操作系统层面运行，默认继承启动用户的完整系统权限——这意味着一旦用管理员账户启动，AI智能体便拥有对系统的完全控制权：可读写任何文件、安装卸载软件、修改系统配置，甚至访问内核资源。这与传统安全“最小权限”和“三权分立”的原则背道而驰。传统架构中，系统管理员、安全审计员、业务操作员各司其职，单一账户被攻破后破坏范围有限。而OpenClaw这种“全能型”设计虽然方便了自动化任务执行，却也带来了致命隐患：一旦被漏洞利用或恶意技能入侵，攻击者获得的不是受限沙箱权限，而是用户的全部系统权限。这无异于将整台主机的“生杀大权”拱手交给AI，而AI的任何失误或被操控，都将导致灾难性后果。

OpenClaw的大部分默认配置没有考虑安全问题，例如网关默认绑定至 0.0.0.0:18789，意味着不仅本地可访问，同一局域网甚至公网均可触达；更致命的是，它将用户的API密钥、账户凭证乃至银行账户信息以明文形式保存在本地（默认 ~/.clawdbot/ 目录），一旦主机失陷，敏感数据将在毫秒间被批量窃取。

OpenClaw支持与钉钉、微信、Slack、Discord等消息应用集成，这使得攻击面从单机扩展到整个社交网络。恶意提示词可以通过聊天工具像病毒一样传播：攻击者在群聊中发布一条看似普通的工作文档链接，当同事让集成了OpenClaw的Bot帮忙总结时，Bot可能被恶意提示词劫持，进而泄露公司内部数据。这种“社交化攻击”路径，使传统的边界防御彻底失效。

OpenClaw在开发者中的病毒式传播，催生了大量的“影子AI”风险——员工未经IT部门审计私自部署AI工具，使企业安全防线形同虚设。安全机构数据显示，OpenClaw走红的一周内，22%的企业员工私自部署了该工具。这些绕过标准安全管控的“影子AI”实例，将企业内部敏感数据直接暴露给未知风险，急剧放大了企业的攻击面，成为传统安全防护体系无法触及的盲区。

OpenClaw 的官方网站说明：

OpenClaw is both a product and an experiment: you’re wiring frontier-model behavior into real messaging surfaces and real tools. There is no “perfectly secure” setup.

——OpenClaw 既是一个产品，也是一个实验：你正在将前沿模型的行为接入真实的消息界面和真实的工具中。不存在“绝对安全”的设置。

所以，只要部署了 Clawdbot 并与之对话，你的电脑就有可能被攻击者完全控制。这是架构层面的根本性问题，不是 “bug”，而是“feature”。

03

供应链风险：

大量的恶意Skills

除了自身的漏洞，OpenClaw的第三方技能市场 “ClawHub” 已成为网络犯罪的新温床，其供应链安全问题比漏洞本身更具普遍性。

安全研究在ClawHub上发现了大量恶意技能包。攻击者通过上传看似正常的“技能”，诱导AI智能体执行隐藏的恶意指令。恶意技能包不同于传统可执行文件恶意代码，它们以指令集形式存在，传统的病毒检测工具无法对其进行有效检测，这为供应链攻击打开了新的大门。

随着智能体的普及，市场上出现了针对AI生态的新型攻击链：智能体对智能体攻击。攻击者伪装成AI智能体，在智能体社交网络（如Moltbook）上直接向其他AI智能体推广恶意Skills，利用智能体之间默认的信任关系进行传播。

另外，OpenClaw的Skills之间缺乏有效隔离，没有沙箱机制，没有权限边界。一个恶意skill可以访问其他skills的数据，甚至访问你的所有文件。恶意Skills可以很容易地导致主机失陷。

综合各个安全机构对恶意Skills的公开报告整理分析，2026年发现的恶意Skills数量急剧上升。

数据来源：OpenSourceMalware、Koi Security、Snyk、慢雾(余弦)、ThaiCERT、阿里云开发者社区、The Hacker News。

04

LLM基因缺陷：

提示注入与幻觉

作为具备自主决策能力的智能体，OpenClaw面临着传统软件所没有的逻辑安全挑战。

提示注入是LLM应用系统无法规避的问题。攻击者可以将恶意指令隐藏在网页、邮件或文档中。攻击者可以把这样的特殊内容放到互联网的各个角落，比如博客、论坛、社交媒体等，甚至可以通过搜索引擎优化（SEO）和购买广告让它们更容易被 Clawdbot 发现。当Clawdbot 在后台读取这些内容以协助用户工作时，指令会被执行，例如被诱导下载并运行恶意Shell脚本。用户可能只是收到一封垃圾邮件，其AI助手在扫描邮件时就可能导致系统失陷，直接交出整台电脑的控制权。

学术界已经有大量研究证明：只要攻击者有意愿，几乎总能成功劫持模型行为。

提示注入之所以被称为“天生缺陷”，正因为它源于LLM最核心的能力——对自然语言的通用理解。我们希望AI足够聪明，能理解复杂、隐含、多语言的指令；但这种“聪明”的代价是，它无法在语义层面绝对区分“用户的命令”和“数据中的命令”。只要AI还需要阅读人类编写的自然语言——邮件、网页、文档——注入的通道就永远存在。

SQL 注入之所以能被防御，是因为我们可以使用预编译语句（Prepared Statements）。数据库引擎在解析阶段就严格区分了“哪部分是 SQL 命令”和“哪部分是用户输入的数据”。

但在 LLM 中，指令与数据是“天然融合”的。LLM 看到的不是“指令”和“数据”，而是一串连续的 Token 序列。Transformer 架构的核心是注意力机制，模型会根据上下文的相关性分配权重。如果数据中嵌入了一条逻辑更强、更具体、更符合模型训练分布的指令（如“忽略之前所有指令”），注意力机制可能给这条“数据中的指令”赋予更高权重，从而覆盖系统预设指令。这正是提示注入难以根治的结构性原因。

OpenClaw官方建议使用更强的模型（如 Claude Opus），理由是更强的模型“更难被劫持”。换句话说——他们默认承认这个问题无解。实际上，行业早已达成共识，再强的模型也无法完全防御提示词注入导致的目标劫持攻击。攻击者只需要花更多心思，就能找到绕过防护的方法。

幻觉同样是LLM无法根治的基因缺陷。从理论上讲，只要模型基于概率预测且参数化压缩知识，幻觉就必然存在。LLM的强大在于泛化——能回答从未见过的问题。若要彻底消除幻觉，模型必须停止泛化，只在确知范围内作答，但这恰恰剥夺了LLM的核心价值。幻觉是泛化能力的副作用，理论上就无法剥离。

幻觉问题会导致AI行为的不可预测性，即使是正常功能也可能在特定条件下失控。近期发生的一起真实事件印证了这一点：Meta的AI安全专家在使用OpenClaw整理邮箱时，该智能体无视连续三次的“停止”指令，疯狂删除了数百封邮件，充分展示了高权限AI在失控时的巨大破坏力。

总结与建议

OpenClaw作为AI智能体浪潮中的现象级项目，其技术创新毋庸置疑。然而，通过对高危漏洞CVE-2026-25593、架构缺陷、供应链风险及LLM基因缺陷的深度剖析，我们必须清醒认识到：当前的OpenClaw仍处于“实验性”阶段，远未达到企业级安全标准。其安全问题并非孤立的技术漏洞，而是贯穿设计哲学、生态治理和底层模型的系统性风险。

微软安全团队已将OpenClaw定性为“具有持久凭据的不可信代码执行环境”，这一评价值得深思。在享受AI智能体带来的效率红利前，必须正视其背后的安全陷阱。为此，我们提出以下加固建议：

1

隔离运行，最小权限

严禁在主力机或生产环境直接运行OpenClaw，务必部署在隔离的虚拟机或容器中，使用独立低权限账户启动，切勿使用管理员账户。对于敏感操作必须增加人工二次确认。

2

网络封禁，暴露面收敛

确保WebSocket网关（默认18789端口）仅监听127.0.0.1，严禁暴露至公网。企业应在网络边界检测并阻断暴露的OpenClaw服务。

3

技能审核，供应链管控

将ClawHub视为高风险来源。安装任何第三方技能前，务必核查VirusTotal、GitHub仓库及前置要求。有条件的企业应搭建私有技能仓库。

4

凭证管理，数据加密

切勿以明文存储任何敏感信息（API密钥、银行账户等），建议使用环境变量或密钥管理服务动态注入凭证，定期清理本地缓存。

5

监控审计，行为基线

开启操作日志，对接到SIEM系统进行监测审计。建立AI行为基线，对异常操作（如凌晨批量读文件）实时告警。防范提示注入通过聊天渠道扩散。

6

保持更新，关注社区

OpenClaw团队漏洞响应积极，务必升级至最新版本，及时关注安全公告。

归根结底，AI智能体的安全是一个“信任转移”的问题：当我们赋予AI越来越高的权限时，就必须用同等级别的防护来约束它。我们需要像保护root权限一样保护我们的AI智能体——因为一旦它沦陷，代价就是我们的数字身份。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：威努特安全网络 石凌志 石凌志《爆红AI正在失控？深剖OpenClaw背后的安全风险！》