关于OpenClaw开源AI智能体的安全风险预警提示

最近，国外开源AI智能体OpenClaw（俗称“龙虾”）风靡全球，2025年11月推出后，最初只在硅谷开发者和极客圈层流行，随后发展进入我国。国内一些科技企业出于商业考量，推出免费安装活动，吸引大量群众到场排队。

针对OpenClaw大量部署的情况，近期，工信部网络安全威胁和漏洞信息共享平台（NVDB）和国家互联网应急中心接连发布风险提醒，提示OpenClaw存在系列高危安全漏洞和衍生风险。经研判，该智能体具备本地数据主动采集能力，可在未经用户明确授权的情况下自动读取终端敏感信息，并结合系统级权限实现远程控制、数据外传等恶意行为，相关风险波及范围广、利用门槛低、潜在危害大。现就有关情况预警提示如下：

一、OpenClaw基本情况

OpenClaw（曾用名Clawdbot、Moltbot）由奥地利软件工程师斯坦伯格开发的开源AI智能体，其通过整合多渠道通信能力和大语言模型，构建具备长久记忆，主动执行能力的定制化AI助手，支持本地私有化部署，其核心能力包括24小时自动化任务处理、本地文件读写、终端命令执行、代码自动修复及多工具联动调用，可接管个人电脑，自主处理收发邮件、运营社媒、剪辑视频等工作的人工智能助手，广泛应用于办公、开发、运维等场景。

与传统云端AI模型需用户上传数据至服务器处理不同，OpenClaw在运行过程中可主动扫描、采集用户终端本地数据，包括文档、配置文件、密钥凭证、操作记录等，无需用户主动提供数据即可实现数据获取和系统操作。同时，OpenClaw默认被赋予操作系统级权限，能够直接调用本地软硬件资源、执行终端命令、读写本地任意文件。这种主动采集和系统操作的能力，在提升自动化效率的同时，也带来突出的数据安全和系统控制风险。

二、漏洞及潜在数据安全风险情况分析

（一）核心高危漏洞问题

OpenClaw存在核心设计漏洞“ClawJacked”（CVE-2026-25253），攻击者可利用该漏洞实现无交互远程接管：一方面，可对OpenClaw网关口令进行高速暴力破解，且破解过程无日志记录；另一方面，结合权限设计缺陷，攻击者可构造恶意攻击链，突破实例防护，实现对本地部署实例的完全控制。

（二）潜在数据安全与系统风险

基于上述风险，攻击者可实施以下恶意行为：一是主动采集并窃取本地敏感数据，包括企业商业机密、用户个人信息、财务数据、密钥凭证等；二是远程控制终端，执行任意命令，创建管理员账户、植入挖矿程序、开启远控端口等；三是破坏文件与系统，删除、篡改核心文件，格式化磁盘，破坏系统引导，造成业务中断和数据永久丢失；四是利用被控终端作为跳板，实现内网横向渗透，扩大攻击范围；五是通过恶意插件实现持久化驻留，持续窃取数据并外传，难以被常规安全工具检测。

（三）多重衍生安全问题

除以上风险外，OpenClaw在默认配置和生态管理方面存在以下安全隐患：一是生态审核缺失，ClawHub等第三方插件平台缺乏严格安全审核，攻击者可上传伪装插件，诱导用户安装后植入后门；二是默认配置不安全，初始部署为弱口令、默认端口开放，未开启身份验证和操作日志，易被直接攻击；三是权限配置过于宽松，OpenClaw在部署时“信任边界模糊”，默认具备全系统操作权限，缺乏细粒度管控，一旦被接管，可访问全量本地资源；四是数据存储不规范，操作指令、敏感配置信息未加密存储，部分版本明文缓存数据，存在泄露风险。

三、漏洞影响范围

核心设计漏洞风险影响OpenClaw全版本，尤其对未进行安全配置、公网暴露及安装非官方插件的实例威胁最大。据OpenClaw Exposure Watchboard防御性监控网站统计，截至3月上旬，全球公网暴露的OpenClaw网关实例超27万个，其中国内暴露约9万个，技术、信息服务、电信等行业使用最多。此外，ClawHub技能市场、Moltbook平台及集成OpenClaw能力的各类办公、开发辅助工具均存在关联风险。

四、安全使用与漏洞防范处置建议

为有效防范化解风险，建议党政机关、企事业单位和个人用户审慎使用“龙虾”等智能体，已部署OpenClaw的用户应及时开展全面自查，遵循“版本升级为基础、权限管控为核心、生态防护为关键、日常监控为保障”的原则，落实以下措施：

（一）升级修复与源头管控。立即将OpenClaw升级至官方最新安全版本，关闭或卸载非必要组件。仅从官方仓库或官网下载安装包，下载后使用杀毒软件扫描，确保无恶意代码植入。

（二）权限收紧与网络隔离。禁止将默认端口（18789）暴露于公网，确需远程访问应通过VPN、SSH隧道等安全通道。修改默认弱口令，配置强口令并开启多因素认证。遵循最小权限原则，限制OpenClaw对核心目录、敏感数据的访问权限。开启操作日志，记录命令执行、插件安装等关键行为。

（三）插件使用与生态管控。严禁安装来源不明、无开发者信息、下载量异常的插件。安装前应审查插件源码，排查可疑执行命令。启用沙箱或容器隔离运行插件，定期清理闲置插件，降低供应链投毒风险。

（四）日常监测与应急响应。关闭跨平台同步功能，定期清理对话记录和缓存数据。实时监控操作日志，重点关注异常命令执行、文件读写和网络连接行为。部署终端安全防护工具，定期扫描查杀。制定应急处置预案，发现异常立即断网、关停服务、排查清理并恢复数据。

（五）专项管理要求。不在涉密及处理核心商业秘密的设备上部署OpenClaw。单位用户应完善使用规范，禁止私自安装非官方版本或对接内网资源，要及时跟踪安全公告，落实加固措施，做到风险早发现、早处置。