OpenClaw风险全链路分析及安全提示

本报告由国家信息安全漏洞共享平台（CNVD）与深信服科技股份有限公司联合发布。


前言


OpenClaw（前身为 Clawdbot、Moltbot）是 2025 年 11 月上线的开源 AI Agent 框架。该项目被开发者定义为“可真正执行任务的AI”，以惊人速度成为 GitHub 历史上增长最快的现象级项目之一，上线以来累计获得超过 200,000 颗星。在OpenClaw得到爆炸式增长的同时，暴露出的安全问题也较为突出。

OpenClaw框架的核心能力涵盖了广泛的自动化场景：

1. 信息处理能力：浏览网页、总结PDF文档、分析截图内容；

2. 日程管理能力：安排日历事项、发送提醒通知；

3. 商务自动化能力：代客进行在线购物、处理电子邮件；

4. 系统集成能力：读写本地文件、控制桌面应用；

5. 通信集成能力：集成微信、飞书、WhatsApp、iMessage等主流消息平台；

6. 持久化记忆功能：记住数周甚至数月前的交互记录，作为始终可用的个人AI助手持续运行。

OpenClaw为实现上述功能需要获取用户的认证凭证（包括密码和API密钥），浏览器历史和Cookie，以及系统内所有文件和文件夹的访问权限。用户可通过消息触发其操作，OpenClaw会在主机设备上持续运行直至完成任务。

OpenClaw这种深度系统集成模式，虽然在功能层面提供了强大的自动化能力，但在以下层面存在较为突出的安全问题：

1. 漏洞层面：截至2026年3月11日，OpenClaw被披露漏洞数量82个，其中高危漏洞33个、中危漏洞47个、低危漏洞2个；

2. 暴露面层面：SecurityScorecard统计数据显示，截至2026年3月11日，公网上可被探测到的OpenClaw暴露实例累计超46.9万个（活跃数量20.3万个）。其中，通过版本匹配检测发现，27.2%的实例存在高危漏洞，面临被利用攻击风险；

3. 生态层面：OpenClaw官方复盘称，2026年2月24日至3月2日，ClawHub（OpenClaw插件平台）中约20%的插件（Skills）为恶意或可疑插件，ClawHub成为植入恶意代码的重要渠道；

4. 企业内部部署层面：22%的受监控企业发现员工存在私自安装OpenClaw“影子部署”的行为，这类未授权部署绕过企业安全管控，形成了隐蔽的安全风险点；

5. 恶意软件感染层面：已出现针对OpenClaw配置环境的Vidar窃取木马变种。该木马以OpenClaw敏感信息为目标，对其配置文件进行针对性窃取外传。

数据来源：

https://github.com/openclaw/openclaw/releases

https://declawed.io/

https://openclaws.io/blog/openclaw-february-security-crisis/

https://www.token.security/blog/the-clawdbot-enterprise-ai-risk-one-in-five-have-it-installed

https://thehackernews.com/2026/02/infostealer-steals-openclaw-ai-agent.html






OpenClaw发展历程



项目起源

OpenClaw由奥地利开发者 Peter Steinberger创建，最初是一个人的周末项目，目标是构建一个通过 WhatsApp 消息控制的本地 AI 助手。其项目核心设计理念是：“让 AI 通过你已经在用的聊天 App 跟随你”。OpenClaw与传统 AI 工具不同，它不在浏览器沙盒中运行，而是直接在宿主机操作系统层运行，拥有执行 Shell 命令、读写文件、控制浏览器的权限。



OpenClaw发展历程时间线

时间	事件
2025年11月	项目以Clawdbot名称首次发布，初期反响平淡
2026年1月下旬	在 X（原Twitter）爆红，24小时内获得2万GitHub stars；便于部署的Mac mini设备在美国多地发生脱销
2026年1月27日	Anthropic发出商标侵权警告（Clawdbot与Claude过于相似），项目被迫改名为Moltbot
2026年1月29日	项目再次更名为OpenClaw，同日发布安全补丁版本v2026.1.29
2026年2月15日	OpenAI CEO Sam Altman宣布Steinberger加入OpenAI，OpenClaw将转由独立基金会运营
2026年3月初	多家国内社交媒体平台宣布支持与OpenClaw通信

OpenClaw架构

• 
  Gateway网关
  

核心控制面，默认监听 0.0.0.0:18789（旧版）或 localhost:18789（新版），接收来自微信等社交媒体或 Control UI 的指令；

• 
  Control UI控制面板
  

基于 Web 的管理界面，负责配置 Agent、工具权限、集成服务；

• 
  Nodes节点
  

远程执行主机，Agent 可在其上执行命令、控制浏览器；

• 
  Skills技能/插件
  

第三方扩展插件，通过 ClawHub分发；

• 
  Memory记忆
  

长期上下文存储，以明文 Markdown/JSON 形式保存于宿主机。




OpenClaw安全风险

截至目前，已公开的OpenClaw相关安全事件的时间线如下：

时间	重要事件
2026年1月末	1. @fmdz387通过Shodan扫描发现近千个无认证OpenClaw实例
	2. 卡巴斯基（Kaspersky）安全审计发现512个漏洞，其中8个为严重级别
	3. 研究员Jamieson O'Reilly成功获取各类第三方服务API密钥、Telegram Token及聊天记录
2026/1/29	1. CNVD-2026-13289（CVE-2026-25253）的修复版本v2026.1.29发布（抢在漏洞公开披露前）
	2. 厂商同日发布CNVD-2026-13290（CVE-2026-25157）、CNVD-2026-13291（CVE-2026-24763）安全公告
2026/2/3	1. SecurityWeek公开披露CNVD-2026-13289（CVE-2026-25253） 漏洞
	2. depthfirst发布技术分析：完整1-Click RCE攻击链（Kill Chain）
2026/2/4	厂商再次发布2个安全公告，一周内累计发布5份安全公告
2026/2/5	Snyk ToxicSkills报告：36% 的ClawHub Skills存在安全缺陷，确认76个含有恶意payload
2026/2/9	1. SecurityScorecard统计发现OpenClaw公网暴露实例超过13.5万，9.5%的实例存在高危漏洞风险，易被攻击者接管控制
	2. Bitsight统计数据显示，1月27日至2月8日期间发现暴露实例超过3万
2026/2/14	厂商发布CNVD-2026-13292（CVE-2026-27001）漏洞补丁（版本 v2026.2.13），修复日志投毒、提示词注入（prompt injection）问题
2026/2/18	Endor Labs 披露6个新CVE漏洞，涉及SSRF、认证绕过、路径穿越等类型
2026/2/23	1. Trend Micro 发布ClawHavoc详细分析报告
	2. 被发现39个恶意技能、AMOS变种信息窃取木马，其C2服务器为91.92.242.30
2026/2/26	1. Oasis Security披露“ClawJacked”漏洞（CSWSH + localhost旁路）
	2. 厂商24小时内发布修复版本v2026.2.25
2026年3月初	1. 截至2026年3月11日，公网上可被探测到的OpenClaw暴露实例累计超46.9万个（活跃数量20.3万个）。其中，通过版本匹配检测发现27.2%的实例存在高危漏洞，面临被利用攻击风险
	2. Koi Security更新审计：10700个技能中，超过820个为恶意技能
	3. SMU等多所大学正式发布OpenClaw禁用通告

OpenClaw漏洞风险


随着OpenClaw的广泛部署，一系列安全漏洞被陆续发现并分配了漏洞编号，已披露的漏洞情况统计如下：

• 
  82个CVE漏洞：截至2026年3月初，已披露82个OpenClaw相关CVE漏洞
  

• 
  3个漏洞的利用代码被公开：可实现远程代码执行
  

• 
  修复进度：截至2026年3月12日，厂商已发布v2026.3.11版本，修复40余个漏洞
  

重点漏洞列表

项目	详情
漏洞编号	CNVD-2026-13289（CVE-2026-25253）
危害级别	高危
漏洞类型	错误资源传输 / 跨站WebSocket劫持
影响版本	v2026.1.29之前版本
修复版本	v2026.1.29
PoC 状态	已公开
漏洞原理	Control UI模块从URL的query string中读取gatewayUrl参数时，未做任何来源验证，会自动建立WebSocket连接，并将认证Token 包含在握手载荷中发送。由于浏览器不对WebSocket连接执行同源策略（Same-Origin Policy，SOP），攻击者可在恶意网页中注入JavaScript代码，将受害者的认证Token发送至攻击者控制的服务器

项目	详情
漏洞编号	CNVD-2026-13291（CVE-2026-24763）
危害级别	高危
漏洞类型	命令注入
影响版本	v2026.1.29之前版本
修复版本	v2026.1.29
PoC 状态	已公开
在野利用	存在潜在利用风险
漏洞原理	在Docker沙箱模式下构造容器内执行命令时，将用户可控的PATH环境变量未经转义直接拼接到shell命令字符串中。攻击者可构造特殊字符串，以OpenClaw进程权限在宿主机上执行任意命令

项目	详情
漏洞编号	CNVD-2026-13290（CVE-2026-25157）
危害级别	高危
漏洞类型	命令注入
影响版本	v2026.1.29之前版本
修复版本	v2026.1.29
PoC 状态	已公开
在野利用	存在潜在利用风险
漏洞原理	sshmodeCommand项目中，根路径与SSH目标字符串的解析存在缺陷。攻击者可构造特殊字符串，以OpenClaw进程权限在宿主机上执行任意命令

项目	详情
漏洞编号	CNVD-2026-13293（CVE-2026-25475）
危害级别	高危
漏洞类型	命令注入
影响版本	v2026.1.30之前版本
修复版本	v2026.1.30
PoC 状态	已公开
在野利用	存在潜在利用风险
漏洞原理	MEDIA路径解析函数未正确校验文件路径，攻击者可利用绝对路径、用户目录路径或目录穿越序列(如../)读取任意文件，并通过输出MEDIA:/path/to/file将敏感数据外泄至外部会话通道

项目	详情
漏洞编号	CNVD-2026-13294（CVE-2026-26322）
危害级别	高危
漏洞类型	服务端请求伪造（SSRF）
影响版本	v2026.2.14之前版本
修复版本	v2026.2.14
PoC 状态	待确认
在野利用	无公开利用记录
漏洞原理	OpenClaw Gateway的图片处理工具未校验gatewayUrl请求目标URL，攻击者可构造特殊图片URL，使服务器向内网地址或云元数据端点（如AWS EC2的169.254.169.254）发起请求，进而探测内网拓扑或窃取云服务凭据

项目	详情
漏洞编号	CNVD-2026-13295（CVE-2026-26329）
危害级别	高危
漏洞类型	路径穿越
影响版本	v2026.2.2之前版本
修复版本	v2026.2.2
PoC 状态	待确认
在野利用	无公开利用记录
漏洞原理	浏览器上传功能未对文件路径进行有效验证，攻击者可构造包含 ../ 的恶意路径，将文件写入宿主机文件系统的任意位置，通过写入Cron任务、Shell配置文件等方式实现持久化控制

项目	详情
漏洞编号	CNVD-2026-13292（CVE-2026-27001）
危害级别	中危
漏洞类型	日志投毒导致提示词注入
影响版本	v2026.2.13之前版本
修复版本	v2026.2.13
PoC 状态	研究人员已验证利用可行性
在野利用	无公开利用记录
漏洞原理	OpenClaw通过读取自身日志文件辅助故障排查，若攻击者将恶意指令写入日志（如通过集成的邮件、Slack消息等渠道），这些指令会被AI Agent读取并视为合法操作指令执行

OpenClaw配置错误风险



大量OpenClaw实例在公网暴露是与软件漏洞并行的另一类安全隐患，暴露原因包括以下三个方面因素：

1.  默认配置不安全：OpenClaw默认绑定到0.0.0.0（监听所有网络接口），而非127.0.0.1（仅本地回环）；

2.  用户安全意识不足：用户在安装OpenClaw时，在不知情的情况下，将AI代理暴露在互联网上；

3.  缺乏安全指导：安装过程中缺乏明确的安全配置提示和警告。

OpenClaw的历史默认配置存在多项严重安全缺陷，尽管部分已在新版本修正，但大量仍未更新的旧版本在线实例，依然面临严峻的攻击风险：

配置项	旧版默认值	风险等级	当前状态
网关监听地址	0.0.0.0:18789（全网卡）	极高	新版默认配置localhost:18789
认证	关闭	极高	新版已默认启用
WebSocket Origin 校验	关闭	极高	已修复
Localhost 信任策略	无条件信任	极高	部分修复
密码失败速率限制	无限制	高	已修复
反向代理后的信任配置	trustedProxies未配置	高	需手动配置
凭据存储方式	明文Markdown/JSON	高	架构性问题，彻底解决困难
mDNS 广播	开启（局域网可见）	中	泄露实例信息
Guest Mode 工具权限	开放危险工具	高	部分修复

典型错误配置场景及风险

场景一：反向代理未配置 trustedProxies

部署在 Nginx/Caddy 后方的 OpenClaw，若 trustedProxies 未正确配置，所有来自反向代理的请求都以 127.0.0.1 到达网关，被视为可信本地连接。效果等同于对全互联网开放无认证访问。

影响：攻击者无需密码，可通过反向代理直接访问控制界面、配置存储、凭据、会话历史。

场景二：凭据明文存储

OpenClaw将 API 密钥、密码、LLM Provider Token 以明文形式存储于 ~/.openclaw/ 目录下的 Markdown 和 JSON 文件中。RedLine、Lumma 等主流信息窃取木马已将OpenClaw的文件路径加入其默认采集列表。

影响：任何能访问文件系统的恶意软件（包括 ClawHub 上的恶意技能）均可直接读取全部凭据。

场景三：公开群组策略

在公开群组中部署OpenClaw，任何群成员均可发送 Prompt 指令，触发工具调用、文件读取和配置变更，无需管理员审批。

影响：群组成员可将OpenClaw用作跳板，进入具有更高权限的服务器。

已确认的利用事件

事件一：Shodan 扫描暴露实例（2026年1月末）

安全研究员 Jamieson O'Reilly 通过 Shodan 发现数百个无认证OpenClaw实例，经手动验证后，成功访问了多个实例的 Anthropic API 密钥、Telegram Bot Token、Slack OAuth 凭据和数月完整聊天记录，能以用户身份发送消息、以完整系统管理员权限执行命令。

事件二：Moltbook 数据库泄露（2026年2月）

Wiz 研究团队发现并披露，Moltbook（OpenClaw 的配套 AI 社交网络）的 Supabase 数据库因 Row Level Security 未启用，暴露约 150万个 API 认证 Token、35,000 个电子邮件地址和 4,000 条私信。

事件三：Vidar 信息窃取木马感染（2026年2月25日）

Hudson Rock 披露，一名用户的OpenClaw配置目录被 Vidar 变种信息窃取木马窃取，完整的 Agent 操作上下文及所有集成服务凭据被回传。



OpenClaw技能生态与供应链风险



ClawHub技能快速增长

ClawHub作为OpenClaw的官方公共技能注册中心，其规模在短短数周内经历了爆发式增长：

• 
  截至2026年3月9日，ClawHub共收录18,140个社区构建的技能。
  

• 
  二月初技能注册表仅有约2,800个技能，2026年2月26日已飙升至超过10,700个，三周内增长约280%。
  

• 
  GitHub上VoltAgent的awesome-openclaw-skills项目从13,729个原始技能中筛选出5,494个技能纳入推荐列表，排除6,940个未通过筛选的技能，排除比例约为50.5%。
  

这种超高速增长远超传统软件包仓库的历史增长曲线，也加剧了安全审计和恶意内容筛查的难度。

ClawHub面临的供应链安全风险较为严重。此平台的技能发布门槛极低，仅要求发布者拥有创建超过一周的 GitHub 账户即可完成上传，既无严格的身份核验机制，也未对技能代码开展前置审计，而用户出于对官方市场的天然信任，进一步放大了恶意技能流入生态并被广泛使用的风险。

面对庞大的技能库，社区维护者已开始实施系统性的质量筛选工作：

来源	审计技能数	发现恶意数	恶意占比
Koi Security（第一轮，2026-02初）	2,857	341	12%
Koi Security（第二轮，2026-03初）	10,700	820+	~8%
Snyk ToxicSkills	3,984	1,467（含缺陷）	36.82%
VirusTotal/OpenClaw	3,016+	314+	—

这种大规模的内容筛选实践揭示了一个令人警醒的现实：在一个开放且无门槛的技能发布平台上，低质量和恶意内容的比例超出了人们想象。

ClawHavoc攻击活动

ClawHavoc攻击活动在2026年2月爆发，是对ClawHub平台最大规模的供应链攻击。Koi Security团队在对2,857个技能进行安全审计时发现341个恶意技能中，有335个属于ClawHavoc攻击活动。

攻击者采用了高度伪装的社会工程学策略下发多平台载荷，发布看似合法的技能如solana-wallet-tracker、youtube-summarize-pro等，通过详细的README文档与用户建立可信度，在README文档的“前置条件”部分，以安装依赖为名，要求用户执行恶意的安装命令，下载信息窃取木马。

ClawHavoc攻击活动的一个显著特点是其伪装策略的多样性和针对性：

1. 加密货币用户：111个恶意技能伪装成Solana钱包工具、Phantom钱包工具、钱包追踪器等；

2. 预测市场用户：34个恶意技能以polymarket-trader、polymarket-pro等名称出现；

3. YouTube内容创作者：57个恶意技能伪装成youtube-summarize、youtube-thumbnail-grabber、youtube-video-downloader等工具；

4. 开发者群体：28个恶意技能伪装成自动更新工具；

5. 普通用户：51个恶意技能伪装成金融与社交工具、17个伪装成Google Workspace集成工具、15个伪装成Ethereum Gas追踪器、3个伪装成比特币找回工具。

攻击的技术执行路径体现了对目标用户群体的精准理解：

Windows系统攻击链：

1. 要求用户从GitHub仓库下载名为“openclaw-agent.zip”的加密压缩包；

2. 密码设置为“openclaw”以绕过自动化杀毒扫描；

3. 压缩包内包含带有键盘记录功能的木马程序；

4. 可捕获机器上的API密钥、凭证以及AI助手已获取的所有敏感数据。

macOS系统攻击链：

1. 诱导用户复制glot.io托管的安装脚本并粘贴到终端执行；

2. 脚本包含混淆的shell命令，会从攻击者控制的基础设施获取后续载荷；

3. 联系IP地址91.92.242.30获取通用Mach-O二进制文件；

4. 该文件符合Atomic macOS Stealer（AMOS）的特征。

ClawHavoc攻击活动背后的威胁行为者展现出了高度的组织化和自动化特征：

1. 域名抢注：29个技能使用clawhub、clawhub1、clawhubb等仿冒名称；

2. 虚假系统提示：在技能安装时通过显示虚假“苹果软件更新”提示，静默建立加密隧道；

3. 时间延迟攻击：恶意代码在安装后数小时或数天后才激活；

4. 批量生成：使用自动化工具和脚本批量生成、上传和命名恶意技能；

5. 账号农场：注册大量GitHub账号，每个账号使用时长超过一周以满足平台要求；

6. 快速扩散：单个上传者发布677个恶意包，此规模攻击模式在传统的开源软件供应链攻击中极为罕见；

7. 恶意.md技能文件：技能可以包含UI不可见的Mermaid markdown恶意指令，由于本地扫描器不扫描该类型文件，实现安全检测绕过；

8. 碎片化攻击载荷：将恶意代码分散在多个文件中，只有在特定条件下才会组合执行；

9. 环境感知攻击：恶意技能能够检测运行环境（开发/生产、操作系统类型等）并调整攻击行为。

ClawHub上的恶意Skills攻击载荷呈现多样化演进趋势：

1. 外部恶意软件分发：技能安装指令包含恶意软件下载链接，常使用加密压缩包绕过安全检测；

2. 混淆数据外溢：通过base64、Unicode混淆命令，窃取用户凭证并发送至攻击者服务器；

3. 安全禁用与破坏性操作：诱导Agent关闭安全机制、修改系统配置或删除关键文件。

为应对供应链风险，OpenClaw已与 VirusTotal 合作，对新上传的技能进行恶意代码扫描与 LLM 内容语义分析，并对技能包进行基础结构审查。

ClawHub局限性体现在以下三方面：

一是 ClawHub 作为公开注册的软件市场，缺乏足够人力开展逐包人工审核，自动化检测又难以覆盖所有恶意变种；

二是恶意行为者可通过持续迭代规避手段，绕过平台检测能力；

三是事后管控缺失。即使恶意技能被发现后从 ClawHub 下架，已安装该技能的用户设备仍会保留并运行恶意程序，难以实现批量清除。




OpenClaw部署风险

部署方式	外网攻击	内网攻击	浏览器攻击	风险等级
直接绑定0.0.0.0（旧默认）+无认证	✅ 完全访问	✅ 完全访问	✅ 完全访问	极高
公网+弱密码	✅ 暴力破解	✅ 完全访问	✅ 完全访问	极高
反向代理+trustedProxies未配置	✅ 绕过认证	✅ 完全访问	✅ 完全访问	极高
localhost仅本地+未打CNVD-2026-13289（CVE-2026-25253）补丁	❌ 无法直连	❌ 无法直连	✅ 浏览器劫持	高
localhost+已打补丁+强认证	❌ 无法直连	❌ 无法直连	较低风险	中
隔离VPS+强认证+防火墙+Tailscale	❌ 无法直连	受限	受限	相对安全

内外网攻击者的暴露面

如OpenClaw 实例直接暴露于公网且无认证或弱认证时，外网攻击者可访问：

1. 控制面板（Control UI）：完整配置管理界面

2. 网关 WebSocket 端口（18789）：可直接发送指令给 Agent

3. 明文存储的凭据：LLM Provider API Key、OAuth Token、消息 App 凭据

4. 完整聊天历史：Agent 的所有历史交互记录

5. 已集成的外部服务：通过 Agent 身份访问邮件、消息、日历等

在企业内网中，即使 OpenClaw 未暴露公网，已获得内网访问权限的入侵者或内部恶意人员可以：

1. 通过局域网直接访问无认证实例（旧版默认配置）

2. 利用 mDNS 广播自动发现所有内网 OpenClaw 实例（_openclaw-gw._tcp）

3. 以 OpenClaw 作为跳板，访问其已集成的企业内部服务（邮件、Slack、代码仓库），读取明文存储的服务账号凭据，横向扩展至更多系统。

本地浏览器攻击

即使 OpenClaw 仅监听 localhost、从未暴露公网，如未修复CNVD-2026-13289（CVE-2026-25253）和 ClawJacked漏洞，攻击者可通过以下路径发动攻击：

1. 攻击者部署或控制一个网站（钓鱼页面、投毒广告、水坑攻击均可）

2. 用户使用浏览器访问恶意网站，同时登录了 OpenClaw Control UI

3. 恶意网页中的 JavaScript 向 localhost:18789 发起 WebSocket 连接

4. 由于 OpenClaw 未验证 WebSocket Origin，连接被通过

5. Token 被窃取，攻击者通过受害者浏览器获得完整网关控制权



典型攻击链分析

攻击场景一：针对公网暴露实例的直接攻击

前提条件： 目标运行无认证或弱认证的 OpenClaw，监听公网 IP



攻击场景二：针对 localhost 实例的浏览器劫持（CNVD-2026-13289，对应CVE-2026-25253）

前提条件： 目标运行旧版本的 OpenClaw（<v2026.1.29），即使仅监听 localhost




OpenClaw加固建议

OpenClaw可访问用户文件系统、执行 Shell 命令、调用各类第三方服务凭据，一旦被攻击者控制，会导致用户数字权限泄露。在企业环境中，单个被入侵实例可成为内网横向移动跳板，引发核心数据窃取、关键系统受控等严重安全事件；对个人用户来说，隐私信息存在被窃取的风险。



对企业用户的建议



紧急处置与基础防护

1. 漏洞闭环与凭据管理

• 
  将所有 OpenClaw 升级至最新版本
  

• 
  全面轮换关联凭证，包括 LLM API 密钥、消息应用Token、邮件OAuth等
  

• 
  核查所有实例是否存在公网暴露情况，及时整改暴露风险
  

2. 网络层面防护

• 
  强制网关仅监听127.0.0.1:18789，禁用0.0.0.0全网监听模式
  

• 
  配置防火墙，拒绝18789端口的公网入向流量
  

3. 认证与权限管控

• 
  启用密码认证，设置16位以上强密码
  

• 
  定期轮换 Gateway Token，避免静态凭证泄露风险
  

• 
  启用短期配对码，替代静态 Token 用于身份验证
  

• 
  为 Control UI 配置独立浏览器 Profile，防御跨站劫持攻击
  

长效安全管控措施

1. 供应链与插件管理

• 
  仅安装经官方审核的 ClawHub 技能
  

• 
  定期清理来源可疑或长期闲置的插件
  

• 
  新技能部署前，需在隔离环境完成代码审查和行为验证
  

2. 监控与审计机制

• 
  监控 18789 端口的异常连接行为
  

• 
  审计~/.openclaw/ 目录的访问记录，追踪异常操作
  

• 
  监控 mDNS 广播，发现内网中未申报的 OpenClaw 实例
  

3. 企业政策与流程管控

• 
  制定 OpenClaw 专项使用政策，明确使用规范与安全要求
  

• 
  将 OpenClaw 纳入影子 IT 扫描范围，防止未授权部署
  

• 
  开展员工安全意识培训，提升对相关风险的认知与防范能力
  

• 
  将 OpenClaw 实例安装、插件部署纳入标准变更管理流程，规范审批与实施环节
  

对个人用户的建议



1. 提升安全意识

• 
  风险认知：充分认识OpenClaw的安全风险
  

• 
  安全配置：按照安全最佳实践进行配置
  

• 
  技能审查：谨慎选择安装的技能，审查技能代码
  

• 
  权限管理：仅授予必要的权限，并定期审查权限设置
  

2. 强化安全实践

• 
  环境隔离：建议在虚拟机或容器中使用OpenClaw
  

• 
  敏感信息保护：避免让OpenClaw访问敏感信息
  

• 
  行为监控：监控OpenClaw的网络连接和文件访问行为
  

• 
  定期检查：定期检查系统是否有异常行为
  

3. 应急响应准备

• 
  备份重要数据：定期备份重要数据
  

• 
  隔离受感染系统：发现异常时立即隔离系统
  

• 
  清除恶意文件：使用安全工具清除恶意技能或恶意程序
  

• 
  更改受影响凭证：更改所有可能泄露的凭证
  

结语

AI智能体具有巨大的应用潜力和技术价值，但其面临的安全挑战也不容小觑。OpenClaw安全不仅是一个具体项目的问题，更是对整个AI Agent技术发展进程的一项重要警示：在享受自动化便利的同时，需清醒认识潜在风险；在追求技术创新的同时，需同步考虑安全治理。只有通过厂商、技术社区、企业用户、安全机构、研究人员和国家相关部门的共同努力，才能建起一个既能促进创新、又能保障安全的AI生态系统。


参考链接

官方与CVE数据库

1. GitHub Security Advisories（OpenClaw）: https://github.com/openclaw/openclaw/security/advisories

2.Wiz Vulnerability Database: https://www.wiz.io/vulnerability-database/cve/cve-2026-25253

漏洞研究与技术分析

1. depthfirst - 1-Click RCE Kill Chain: https://depthfirst.com/post/1-cl ... ltbot-data-and-keys

2. Oasis Security - ClawJacked: https://www.oasis.security/blog/openclaw-vulnerability

3. Giskard - Data Leakage & Prompt Injection: https://www.giskard.ai/knowledge ... mpt-injection-risks

威胁情报与供应链分析

1. Trend Micro - ClawHavoc / AMOS: https://www.trendmicro.com/en_us ... -macos-stealer.html

2. Snyk - ToxicSkills: https://snyk.io/blog/toxicskills-malicious-ai-agent-skills/

3. Hudson Rock - Infostealer via The Hacker News: https://thehackernews.com/2026/0 ... openclaw-agent.html

4. Repello AI - ClawHavoc Campaign Analysis（引用自 cyberdesserts）: https://blog.cyberdesserts.com/o ... us-skills-security/

互联网暴露面扫描报告

1. Bitsight - 30,000+ Exposed Instances: https://www.bitsight.com/blog/op ... s-exposed-instances

2. Infosecurity Magazine - 40,000+ Exposed Instances: https://www.infosecurity-magazin ... 0-exposed-openclaw/

3. SecurityScorecard STRIKE Team（引用自 Barrack AI）: https://blog.barrack.ai/openclaw-security-vulnerabilities-2026/

4. Conscia - Multi-Vector Security Crisis: https://conscia.com/blog/the-openclaw-security-crisis/

综合分析与评述

1. Dark Reading - Critical OpenClaw Vulnerability: https://www.darkreading.com/appl ... lity-ai-agent-risks

2. The Hacker News - OpenClaw Bug Enables One-Click RCE: https://thehackernews.com/2026/0 ... e-click-remote.html

3. The Hacker News - ClawJacked: https://thehackernews.com/2026/0 ... alicious-sites.html

4. Kaspersky - New OpenClaw AI Agent Found Unsafe: https://www.kaspersky.com/blog/o ... ties-exposed/55263/

5. Kaspersky - Key OpenClaw Risks: https://www.kaspersky.com/blog/m ... k-management/55317/

6. SOCRadar - CVE-2026-25253 Detail: https://socradar.io/blog/cve-2026-25253-rce-openclaw-auth-token/

7. MintMCP - Every OpenClaw CVE Explained: https://www.mintmcp.com/blog/openclaw-cve-explained

8. DigitalOcean - 7 OpenClaw Security Challenges: https://www.digitalocean.com/res ... security-challenges

9. Prime Rogue Inc - OpenClaw Security Crisis: https://primerogueinc.com/blog/o ... efore-its-too-late/

10. Infosecurity Magazine - Six New Vulnerabilities: https://www.infosecurity-magazin ... s-six-new-openclaw/

11. SMU OIT Security Position: https://blog.smu.edu/itconnect/2 ... itutional-position/

12. University of Toronto Security Advisory: https://security.utoronto.ca/adv ... ility-notification/

13. Pixee Weekly Briefing: https://www.pixee.ai/weekly-brie ... nt-trust-2026-02-11

14. Immersive Labs: https://www.immersivelabs.com/re ... o-your-organization

15. Hackers Arise - CVE-2026-25253: https://hackers-arise.com/cve-20 ... e-openclaw-systems/