你的AI助手，可能正在把你的隐私和资产拱手送人。

一、 什么是OpenClaw？

OpenClaw（曾用名Clawdbot、Moltbot）是一款开源的自主AI智能体（Autonomous Agent），因其强大的自动化能力被誉为“现实版贾维斯”。它能在你的个人电脑（Mac/Windows/Linux）上运行，通过自然语言指令直接操控电脑完成文件整理、邮件发送、代码修复等真实任务，甚至能通过WhatsApp、Telegram等聊天软件与你交互。

然而，正是这种“高权限”和“强执行”的特性，让它成为黑客眼中的“香饽饽”。一旦失守，攻击者相当于拥有了你系统的“遥控器”。

二、 核心安全风险：从“神器”到“地雷”

1. 权限失控：AI拥有“上帝视角”

OpenClaw默认以用户权限直接运行在宿主机上，而非沙箱或容器中。这意味着它拥有与人类用户同等级别的系统权限，能直接读写文件、执行系统指令。

• 风险：一旦被入侵，攻击者可获得宿主机的完整控制权，窃取敏感文件、数据库凭证、SSH密钥等，甚至成为攻击内网的跳板。

2. 网络暴露：公网上的“裸奔”服务

OpenClaw的核心组件Gateway默认监听端口（如18789），且早期版本默认绑定到所有网络接口（0.0.0.0）。

• 风险：大量实例直接暴露在公网，攻击者通过Shodan等工具可轻易扫描发现。若未设置强密码或配置不当，攻击者可直接登录控制面板，接管整个AI实例。

3. 供应链投毒：恶意技能“引狼入室”

OpenClaw支持从第三方市场（如ClawHub）下载“技能”（Skills）扩展功能。初期市场缺乏安全审核，导致大规模投毒事件。

• 风险：攻击者上传伪装成合法工具的恶意技能包（如加密货币工具、天气助手）。用户安装后，恶意脚本可能在后台窃取API密钥、开启反弹Shell或部署木马后门。

4. 提示词注入：AI被“洗脑”

当AI被授权读取外部网页或邮件时，攻击者可在内容中构造隐藏的恶意指令。

• 风险：AI可能被诱导泄露系统密钥、删除重要文件，甚至将SSH私钥发送给攻击者，整个过程用户可能毫不知情。

5. 数据泄露：明文存放的“密码本”

OpenClaw的“持久记忆”功能会将API密钥、对话历史等敏感信息以明文形式存储在本地文件中。

• 风险：任何运行在同一台机器上的进程（包括恶意软件）都能轻易读取这些数据，导致隐私数据、支付账户、商业机密泄露。

三、 近期高危漏洞盘点

1. CVE-2026-25253（一键RCE）

• 风险：攻击者构造恶意链接，受害者点击后，攻击者即可窃取认证令牌，实现远程命令执行，完全控制受害者设备。

2. ClawJacked（零点击劫持）

• 风险：用户只需访问一个恶意网站，该网站即可通过浏览器的WebSocket连接，对本地OpenClaw网关进行无限制的密码暴力破解，并在成功后静默注册恶意设备，实现“零点击”接管。

3. Gateway反向代理认证绕过

• 风险：在使用了Nginx等反向代理的错误配置下，攻击者可绕过认证，直接访问高权限的控制界面，获取所有配置和对话历史。

四、 安全防护建议

1. 网络隔离：关紧“大门”

• 禁止公网暴露：将Control UI绑定于localhost，禁止公网直接访问。如需远程控制，通过加密隧道（如SSH或WireGuard）连接。
• 配置防火墙：严格限制网关端口的入站规则，仅允许信任的IP访问。

2. 权限最小化：限制“手脚”

• 沙箱运行：强烈建议通过Docker容器化部署OpenClaw，而非直接运行在宿主机上，限制其物理访问边界。
• 非root运行：以非root身份执行，针对高风险动作（如执行shell指令、删除文件）强制设定手动确认流程（HITL）。

3. 供应链安全：验明正身

• 官方渠道：仅从官方GitHub或可信渠道下载软件和技能包，禁用自动更新功能。
• 代码审计：对于第三方技能，务必进行代码审计，避免安装来源不明的扩展。

4. 数据加密：保护“记忆”

• 加密存储：避免在环境变量中明文存储密钥，建议使用密码管理工具（如DEW）进行密钥管理与凭据自动轮转。
• 定期清理：定期清理MEMORY.md等记忆文件，避免敏感信息长期留存。

结语

OpenClaw是一把双刃剑。它极大地提升了个人效率，但也带来了前所未有的安全挑战。在享受AI带来的便利时，我们必须时刻保持警惕，遵循“最小权限原则”和“纵深防御”策略，切莫让“AI管家”变成潜伏在身边的“内鬼”