你的AI助手,可能正在把你的隐私和资产拱手送人。
一、 什么是OpenClaw?
OpenClaw(曾用名Clawdbot、Moltbot)是一款开源的自主AI智能体(Autonomous Agent),因其强大的自动化能力被誉为“现实版贾维斯”。它能在你的个人电脑(Mac/Windows/Linux)上运行,通过自然语言指令直接操控电脑完成文件整理、邮件发送、代码修复等真实任务,甚至能通过WhatsApp、Telegram等聊天软件与你交互。
然而,正是这种“高权限”和“强执行”的特性,让它成为黑客眼中的“香饽饽”。一旦失守,攻击者相当于拥有了你系统的“遥控器”。
二、 核心安全风险:从“神器”到“地雷”
1. 权限失控:AI拥有“上帝视角”
OpenClaw默认以用户权限直接运行在宿主机上,而非沙箱或容器中。这意味着它拥有与人类用户同等级别的系统权限,能直接读写文件、执行系统指令。
- 风险:一旦被入侵,攻击者可获得宿主机的完整控制权,窃取敏感文件、数据库凭证、SSH密钥等,甚至成为攻击内网的跳板。
2. 网络暴露:公网上的“裸奔”服务
OpenClaw的核心组件Gateway默认监听端口(如18789),且早期版本默认绑定到所有网络接口(0.0.0.0)。
- 风险:大量实例直接暴露在公网,攻击者通过Shodan等工具可轻易扫描发现。若未设置强密码或配置不当,攻击者可直接登录控制面板,接管整个AI实例。
3. 供应链投毒:恶意技能“引狼入室”
OpenClaw支持从第三方市场(如ClawHub)下载“技能”(Skills)扩展功能。初期市场缺乏安全审核,导致大规模投毒事件。
- 风险:攻击者上传伪装成合法工具的恶意技能包(如加密货币工具、天气助手)。用户安装后,恶意脚本可能在后台窃取API密钥、开启反弹Shell或部署木马后门。
4. 提示词注入:AI被“洗脑”
当AI被授权读取外部网页或邮件时,攻击者可在内容中构造隐藏的恶意指令。
- 风险:AI可能被诱导泄露系统密钥、删除重要文件,甚至将SSH私钥发送给攻击者,整个过程用户可能毫不知情。
5. 数据泄露:明文存放的“密码本”
OpenClaw的“持久记忆”功能会将API密钥、对话历史等敏感信息以明文形式存储在本地文件中。
- 风险:任何运行在同一台机器上的进程(包括恶意软件)都能轻易读取这些数据,导致隐私数据、支付账户、商业机密泄露。
三、 近期高危漏洞盘点
1. CVE-2026-25253(一键RCE)
- 风险:攻击者构造恶意链接,受害者点击后,攻击者即可窃取认证令牌,实现远程命令执行,完全控制受害者设备。
2. ClawJacked(零点击劫持)
- 风险:用户只需访问一个恶意网站,该网站即可通过浏览器的WebSocket连接,对本地OpenClaw网关进行无限制的密码暴力破解,并在成功后静默注册恶意设备,实现“零点击”接管。
3. Gateway反向代理认证绕过
- 风险:在使用了Nginx等反向代理的错误配置下,攻击者可绕过认证,直接访问高权限的控制界面,获取所有配置和对话历史。
四、 安全防护建议
1. 网络隔离:关紧“大门”
- 禁止公网暴露:将Control UI绑定于localhost,禁止公网直接访问。如需远程控制,通过加密隧道(如SSH或WireGuard)连接。
- 配置防火墙:严格限制网关端口的入站规则,仅允许信任的IP访问。
2. 权限最小化:限制“手脚”
- 沙箱运行:强烈建议通过Docker容器化部署OpenClaw,而非直接运行在宿主机上,限制其物理访问边界。
- 非root运行:以非root身份执行,针对高风险动作(如执行shell指令、删除文件)强制设定手动确认流程(HITL)。
3. 供应链安全:验明正身
- 官方渠道:仅从官方GitHub或可信渠道下载软件和技能包,禁用自动更新功能。
- 代码审计:对于第三方技能,务必进行代码审计,避免安装来源不明的扩展。
4. 数据加密:保护“记忆”
- 加密存储:避免在环境变量中明文存储密钥,建议使用密码管理工具(如DEW)进行密钥管理与凭据自动轮转。
- 定期清理:定期清理MEMORY.md等记忆文件,避免敏感信息长期留存。
结语
OpenClaw是一把双刃剑。它极大地提升了个人效率,但也带来了前所未有的安全挑战。在享受AI带来的便利时,我们必须时刻保持警惕,遵循“最小权限原则”和“纵深防御”策略,切莫让“AI管家”变成潜伏在身边的“内鬼”
