OpenClaw:AI顶流还是安全漏洞之王?网络安全AI说

OpenClaw:AI顶流还是安全漏洞之王?

网络安全AI说
6分钟 ·
播放数38
·
评论数0

2025年爆火的AI开源框架OpenClaw,GitHub星标登顶,却成安全漏洞集大成者!110个漏洞、13.5万暴露实例、20%恶意插件,还有木马偷信息!听我们拆解这颗AI界的“定时炸弹”。

项目概况

OpenClaw(前身为 Clawdbot、Moltbot)是 2025 年 11 月上线的开源 AI Agent 框架,被定义为"真正可以执行任务的 AI"。该项目以惊人速度成为 GitHub 历史上增长最快的现象级项目之一,上线以来累计超过 200,000 颗星。

核心能力与权限需求

OpenClaw 拥有以下核心能力:

  • 信息处理:浏览网页、总结 PDF、分析截图
  • 日程管理:安排日历事项、发送提醒通知
  • 商务自动化:在线购物、处理电子邮件
  • 系统集成:读写本地文件、控制桌面应用
  • 通信集成:集成 WhatsApp、Telegram、Slack 等主流消息平台
  • 持久化记忆:记住数周甚至数月前的交互记录

为实现上述功能,OpenClaw 需要获取用户的根文件权限、认证凭证(包括密码和 API 密钥)、浏览器历史和 Cookie,以及系统内所有文件和文件夹的访问权限。

安全风险概览

1. 漏洞层面风险

  • 已披露漏洞数量:至少达 110 个(截止 2026 年 2 月 28 日)
  • 高危漏洞:其中 3 个漏洞已有公开的 PoC(概念验证)代码,攻击者可直接利用
  • 修复进度:截至 2026 年 2 月 26 日,已修复超过 40 个漏洞

2. 暴露面风险

  • 公网暴露实例:超 13.5 万个(覆盖 82 个国家)
  • 可被 RCE 利用:至少 12,812 个实例存在远程代码执行风险
  • 最新数据:3 月初发现超 40,000 个暴露实例,63% 部署存在漏洞

3. 供应链风险

  • ClawHub 插件平台:存在超过 820 个恶意插件,占插件总数约 20%
  • 技能增长失控:从 2,800 个飙升至 18,140 个(三周内增长 550%)
  • 发布门槛极低:仅要求发布者拥有超过一周的 GitHub 账户

4. 企业部署风险

  • 影子部署:22% 的受监控企业中发现员工私自安装 OpenClaw
  • 绕过管控:未授权部署形成隐蔽的安全风险点

5. 恶意软件感染

  • 实际感染证据:Vidar 木马变种已成功感染 OpenClaw 实例
  • 信息窃取:出现基于该平台的信息窃取行为

重大安全漏洞详解

CVE-2026-25253(核心高危漏洞)

  • CVSS 评分:8.8(高危)
  • 漏洞类型:错误资源传输/跨站 WebSocket 劫持
  • 影响版本:v2026.1.29 之前版本
  • 攻击机制:Control UI 从 URL query string 读取 gatewayUrl 时未做验证,自动建立 WebSocket 连接并发送认证 Token
  • PoC 状态:已公开

命令注入漏洞(3 个高危)

  • CVE 编号:CVE-2026-24763 / CVE-2026-25157 / CVE-2026-25475
  • 漏洞类型:命令注入
  • 攻击机制:用户可控输入未经充分过滤即传递给系统命令执行器
  • PoC 状态:已公开

其他高危漏洞

  • CVE-2026-26322:SSRF(服务端请求伪造),CVSS 7.6
  • CVE-2026-26329:路径穿越(Path Traversal)
  • CVE-2026-27001:日志投毒导致 Prompt Injection

ClawHavoc 供应链攻击活动

攻击规模

  • 恶意技能数量:335 个(在 2,857 个审计技能中发现)
  • 伪装策略:针对不同用户群体的精准伪装加密货币用户:111 个恶意技能
    YouTube 创作者:57 个恶意技能
    预测市场用户:34 个恶意技能
    开发者:28 个恶意技能

攻击技术特征

  • 域名抢注(29 个仿冒名称)
  • 虚假系统提示
  • 时间延迟攻击(数小时或数天才激活)
  • 批量生成与快速扩散
  • 单个上传者发布 677 个恶意包

攻击载荷类型

  1. 外部恶意软件分发:技能包含恶意软件下载链接
  2. 混淆数据外溢:通过 base64、Unicode 混淆窃取凭证
  3. 安全禁用与破坏:诱导关闭安全机制、修改系统配置

配置错误风险

典型错误配置

  1. 默认绑定 0.0.0.0:监听所有网络接口而非仅本地回环
  2. 认证关闭:旧版本默认不启用认证
  3. WebSocket Origin 校验关闭:导致 CSRF 攻击
  4. 明文凭据存储:API 密钥、密码以明文形式存储

真实利用事件

  1. Shodan 扫描事件:研究员成功访问数百个实例的 API 密钥、Bot Token、聊天记录
  2. Moltbook 数据泄露:150 万个 API 认证 Token、35,000 个邮件地址泄露
  3. Vidar 木马感染:配置文件被窃取,包含完整 Agent 操作上下文

攻击向量分析

攻击场景一:公网暴露实例直接攻击

  • 前提:无认证或弱认证,监听公网 IP
  • 攻击者可直接访问:控制面板、WebSocket 端口、明文凭据、聊天历史、已集成服务

攻击场景二:本地浏览器劫持

  • 前提:运行未打补丁版本(< v2026.1.29),即使仅监听 localhost
  • 攻击路径:恶意网站 → 用户浏览器 → 向 localhost:18789 发起 WebSocket 连接 → 窃取 Token → 获得完整控制权

加固建议

对企业用户

紧急处置与基础防护

  1. 升级至 v2026.2.26 及以上版本
  2. 全面轮换关联凭证(LLM API 密钥、消息应用 Token 等)
  3. 核查公网暴露情况,及时整改
  4. 强制网关仅监听 127.0.0.1:18789
  5. 配置防火墙,拒绝 18789 端口公网入向流量
  6. 启用密码认证(16 位以上强密码)
  7. 定期轮换 Gateway Token
  8. 为 Control UI 配置独立浏览器 Profile

长效安全管控

  1. 仅安装经审核通过的 ClawHub 技能
  2. 新技能部署前需在隔离环境完成代码审查
  3. 监控 18789 端口异常连接行为
  4. 监控 mDNS 广播,发现未申报的实例
  5. 将 OpenClaw 纳入影子 IT 扫描范围
  6. 制定专项使用政策,纳入标准变更管理流程

对个人用户

  1. 安全意识提升:充分认识安全风险,按照最佳实践配置
  2. 环境隔离:考虑在虚拟机或容器中使用
  3. 敏感信息保护:避免让 OpenClaw 访问敏感信息
  4. 行为监控:监控网络连接和文件访问
  5. 定期检查:检查系统异常行为
  6. 应急响应准备:定期备份重要数据,发现异常时立即隔离系统

核心警示

OpenClaw 安全危机不仅是一个具体项目的安全问题,更是整个 AI Agent 技术发展过程中的重要警示。它提醒我们:

  1. 技术革新与安全治理必须同步:在追求技术创新的同时,必须同步考虑安全治理
  2. 便利性与风险的权衡:享受自动化便利的同时,必须清醒认识潜在风险
  3. 供应链安全的重要性:开放生态需要严格的安全审核机制
  4. 用户安全意识的关键性:技术安全措施需要配合用户的安全意识

OpenClaw 的案例表明,AI Agent 具有巨大的潜力和价值,但其安全挑战也同样巨大。只有通过技术社区、企业用户、安全研究人员和政策制定者的共同努力,才能建立一个既能够促进创新又能够保障安全的 AI 生态系统。

小宇宙图标
在小宇宙打开