# 🦞 OpenClaw 安全避坑指南这只"龙虾"到底是神器还是木马?深度拆解一文搞懂 CVE漏洞 + 恶意技能 + 防护清单 - 状态 / Status: 已发布 / Published - 时间 / Time: 2026-03-13T00:26:29+08:00 - 作者 / Author: - - 主题 / Topics: AI / AI, 工具 / Tools - 原文 / Source: https://mp.weixin.qq.com/s/l6twJau74c4pukrhZ_tTcA 🦞 OpenClaw 安全避坑指南这只"龙虾"到底是神器还是木马? --- 🦞 OpenClaw 安全避坑指南 这只"龙虾"到底是神器还是木马?深度拆解 一文搞懂 CVE漏洞 + 恶意技能 + 防护清单 ⚡ TL;DR 三分钟速览 🚨 现状: GitHub 20万+ Stars ,但已发现 1184+ 恶意技能 , 13.5万+ 实例公网暴露 ⚠️ 高危漏洞: CVE-2026-25253(CVSS 8.8)一键RCE,点个链接就被黑 🎭 供应链攻击: ClawHavoc 行动,335个技能来自同一黑客,专偷加密货币 ✅ 防护核心: 升级到 v2026.2.21+,只用官方53个技能,关端口、开认证、用沙箱 最近有个朋友找我诉苦: "我的 API Key 被盗了,Anthropic 账单飙了 500 刀" 。一问才知道,他装了个叫 OpenClaw 的 AI 助手,给了 Shell 权限,结果…… 这玩意儿两周从 0 冲到 14.5 万 Stars ,现在已经 20万+ ,比 React 还火。但它的安全问题,说实话, 能把安全从业者吓出冷汗 。 ✦ ✦ ✦ 一 OpenClaw 到底是个啥? 先说人话: OpenClaw 是一个能帮你"干活"的 AI 助手 。 普通聊天机器人只能动嘴皮子,OpenClaw 能动手。它可以: 1 执行 Shell 命令(rm -rf 什么的都行) 2 读写你的文件(.env、SSH Key、啥都能看) 3 接管你的邮箱、日历、Slack、微信(对,它真能发消息) 4 7×24 小时无人值守运行 "If you can't understand how to run a command line, this is far too dangerous of a project for you to use safely." 「如果你不懂命令行,这个项目对你来说太危险了,别碰。」 —— OpenClaw 官方维护者 Shadow 打个比方:普通 AI 是你的「嘴替」,OpenClaw 是你的「影子」——它能用你的身份,做你能做的 一切事情 。 ⚠️ 重点来了: 这玩意儿曾叫 Clawdbot(因为蹭 Claude 被 Anthropic 律师函警告),又改叫 Moltbot,最后定名 OpenClaw。 两个月换了三次名 ——光看这折腾劲儿,你就知道它有多"野"。 ✦ ✦ ✦ 二 到底有多危险?数据说话 💀 1. 致命漏洞 CVE-2026-25253 这是个啥?用大白话说: 🔥 漏洞原理(人话版) OpenClaw 有个控制面板,你得登录才能用。但它有个智障设计: ✦ 你登录后访问任何网页 ✦ 网页里藏了一段恶意代码 ✦ 代码偷走你的登录令牌(Token) ✦ 黑客用这个令牌 完全控制你的电脑 而且!就算你只在 localhost 跑,也会中招! CVSS 评分 8.8 分 (满分 10 分),属于"高危"级别。 📊 受影响范围(截至 2026年2月) 4.2万+ 实例公网暴露(SecurityScorecard 扫描) 5,194 个实例确认存在漏洞 93.4% 可以绕过认证直接进入 ✅ 已修复 :v2026.1.29 版本(2026年1月30日发布) 🎭 2. ClawHavoc 供应链投毒 OpenClaw 有个技能市场叫 ClawHub ,类似 npm 或者 App Store。你可以下载各种"技能"来扩展功能。 问题来了: 这玩意儿几乎不审核 。 💀 ClawHavoc 攻击复盘 ✦ 发现数量: 1,184 个恶意技能(占市场 20%) ✦ 幕后黑手: 单个用户 "hightower6eu" 上传 354 个 ✦ 下载量: 近 7,000 次(仅 hightower6eu 的) ✦ 目标: 加密货币用户(钱包私钥、交易所 API) ✦ 手法: 伪装成 ByBit、Polymarket 等知名工具 🔗 感染链(一步步带你踩坑) Step 1 你搜 "solana-wallet-tracker",看起来很正规 Step 2 安装时弹窗:"请运行此命令完成设置" Step 3 你以为是正常流程,复制粘贴执行 Step 4 实际运行的是 base64 -d | sh ,下载木马 Step 5 AMOS 信息窃取器开始干活:密码、密钥、浏览器数据,全部打包带走 "This is the ClawHub version of 'ClickFix' — attackers convince victims to execute commands that install malware." 「这就是 ClawHub 版的社工攻击——让受害者自己执行安装恶意软件的命令。」 🔓 3. 密钥裸奔问题 OpenClaw 默认把你的 API Key、OAuth Token 存在本地文件里,而且是 明文!明文!明文! ~/.openclaw/openclaw.json ~/.openclaw/.env ~/.clawdbot/device.json 任何能访问这些文件的程序——包括恶意技能、木马、或者你不小心 commit 到 GitHub 的——都能看到你的: ✦ Anthropic / OpenAI API Key(烧钱神器) ✦ OAuth Token(邮箱、日历、Slack 全完蛋) ✦ 设备配对密钥(直接远程控制你电脑) 🧠 4. 提示注入攻击 这个最骚。因为 OpenClaw 是 AI 驱动的,所以它天生有个弱点: Prompt Injection 。 🎯 攻击场景举例 ✦ 你让 OpenClaw 帮你总结一篇网页 ✦ 网页里藏了一段"隐形指令" ✦ AI 把这段指令当成你的命令执行 ✦ 然后它可能创建后门、泄露数据、甚至给你的 Telegram 发消息 更恐怖的是: OpenClaw 有持久记忆 。恶意指令可以"潜伏"在记忆里,等以后再触发。 "With persistent memory, attacks are no longer just point-in-time exploits. They become stateful, delayed-execution attacks." 「有了持久记忆,攻击不再是一次性的。它们变成了有状态的、延迟执行的攻击。」 —— Palo Alto Networks 研究报告 ✦ ✦ ✦ 三 "致命三角":为什么 OpenClaw 天生危险 安全研究员 Simon Willison 提出了一个概念: Lethal Trifecta(致命三角) 。 当一个 AI Agent 同时具备这三个特性时,就天生不安全: 1 能访问私有数据 (邮件、文件、密钥) 2 会接触不可信内容 (网页、邮件、用户输入) 3 能对外通信 (发消息、调 API、传文件) OpenClaw 三条全中 。 Palo Alto Networks 的研究更狠——他们把 OpenClaw 对照 OWASP Top 10 for Agentic Applications (AI Agent 安全十大风险),发现 十条全命中 。 🤔 打个比方: 这就像你雇了一个超级能干的管家,给他配了家里所有钥匙、银行卡密码、电脑权限。他确实能帮你干很多事——但如果有人能骗他,或者他被调包成坏人,你整个家就完了。 ✦ ✦ ✦ 四 保命指南:怎么安全地用这只龙虾 如果你非要用(或者公司里有人在偷偷用),这里是 保命三板斧 : 🔴 Tier 1:最低生存线(不做等于裸奔) 1 升级!升级!升级! 至少 v2026.1.29,推荐 v2026.2.21+ 2 关掉公网暴露 :绑定到 127.0.0.1,别用 0.0.0.0 3 开认证 :设置强 gateway.auth.token(至少 32 位随机字符) 4 改默认端口 :别用 18789,换个随机端口 5 防火墙封端口 : ufw deny 18789 🟠 Tier 2:标准防护(大多数人该停在这里) 1 用 Docker 隔离 :别直接跑在主机上 2 环境变量存密钥 :别把 API Key 写在配置文件里 3 只用官方 53 个技能 :ClawHub 第三方的别碰 4 开执行审批 :敏感操作需要你手动确认 5 用强模型 :别用便宜的本地小模型,它们更容易被骗 🟣 Tier 3:企业级防护(处理敏感数据必看) 1 网络隔离 :单独 VPS / VM,与业务系统物理隔离 2 VPN/Tailscale 访问 :不直接暴露任何端口 3 配置文件加密 :用 chattr +i 锁定关键文件 4 操作日志审计 :记录所有执行的命令 5 出站流量监控 :检测异常外连 💻 救命命令速查 查看暴露端口: sudo ss -tlnp | grep 18789 安全审计: openclaw security audit 防火墙封端口: sudo ufw deny 18789 && sudo ufw deny 18793 检查配置文件权限: chmod 600 ~/.openclaw/*.json ✦ ✦ ✦ 五 避坑指南:这些蠢事别干 ❌ 作死行为清单 ✦ 把 OpenClaw 配置文件 commit 到 GitHub(你的 API Key 会被全网扫描) ✦ 在公司电脑上偷偷装(Shadow AI 的典型,出事你背锅) ✦ 给它接入真实的邮箱/Slack(它能以你的名义发消息, 发出去就收不回来 ) ✦ 让它访问加密货币钱包或交易所(黑客最爱的目标) ✦ 用便宜的本地模型跑(越弱的模型越容易被骗) ✦ 登录控制台后乱点网页(CVE-2026-25253 就是这样中招的) ✅ 正确姿势 ✦ 用专门的 VPS,别和生产环境混一起 ✦ 创建专用低权限账号运行 OpenClaw ✦ 每次安装技能前,先看源码 ✦ API Key 设置消费上限(烧完就停) ✦ 定期轮换所有密钥和 Token ✦ 如果怀疑被黑, 立刻轮换所有凭证,别犹豫 "If your model provider supports spending limits, set them. This is the cheapest 'oh no' protection you can buy." 「如果你的模型供应商支持消费上限,赶紧设。这是最便宜的'噢不'保险。」 ✦ ✦ ✦ 六 安全自检 SOP Checklist 照着这个表逐项检查,全部打 ✅ 才算及格: 🔴 基础安全(必须全部完成) □ 版本 ≥ v2026.1.29(推荐 v2026.2.21+) □ 网关绑定到 127.0.0.1,不是 0.0.0.0 □ gateway.auth.token 已设置且强度足够 □ 防火墙已封锁 18789 和 18793 端口 □ openclaw security audit 无严重警告 🟠 凭证安全 □ API Key 通过环境变量注入,不在配置文件中 □ ~/.openclaw/ 目录权限为 700 □ 所有 .json 和 .env 文件权限为 600 □ 没有把配置文件 commit 到版本控制 □ API Key 设置了消费上限 🟣 技能安全 □ 只使用官方内置的 53 个技能 □ 已禁用自动技能更新 □ 任何第三方技能安装前已审查源码 □ 拒绝执行任何"复制此命令到终端"的指引 🟢 运行时安全 □ 使用 Docker 容器运行(或 VM 隔离) □ 敏感操作需要手动审批 □ 使用 Claude/GPT-4 等强模型(不用弱本地模型) □ 已启用会话和操作日志 □ 登录控制台时不访问不可信网站 🔵 企业级(如果在公司用) □ IT 部门知道你在用这个 □ 与生产网络物理隔离 □ 仅通过 VPN/Tailscale 访问 □ 有应急响应预案 □ 定期进行安全审计 ✦ ✦ ✦ 🎯 一句话总结 OpenClaw 确实很强,能让 AI 真正"干活"而不只是"聊天"。 但它的安全模型还在"蜕壳期"—— 能力很强,壳还没长硬 。 如果你要用,请 把它当成一个拥有超级权限的陌生人 来对待——给最小权限,做最大防范。 "The lobster has to shed its shell to grow. While shedding, it's most vulnerable. But without shedding, there's no growth." 「龙虾想长大就得蜕壳。蜕壳时最脆弱,但不蜕壳就长不大。」 —— Peter Steinberger(OpenClaw 创始人)谈"龙虾之道" 💬 你用过 OpenClaw 吗? 评论区聊聊你的使用体验和踩坑经历 觉得有用的话,转发给你身边在用的朋友 📚 参考来源: 1. Dark Reading - Critical OpenClaw Vulnerability Exposes AI Agent Risks 2. Conscia - The OpenClaw Security Crisis 3. SecurityScorecard STRIKE Team Research 4. Trend Micro - Malicious OpenClaw Skills Analysis 5. Koi Security - ClawHavoc Campaign Report 6. 奇安信 - Clawdbot(OpenClaw)高危风险深度解析 参考原文链接: 1. https://www.darkreading.com/application-security/critical-openclaw-vulnerability-ai-agent-risks 2. https://conscia.com/blog/the-openclaw-security-crisis/ 3. https://securityscorecard.com/blog/what-are-the-real-security-risks-of-agentic-ai-and-openclaw/ 4. https://www.trendmicro.com/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html 5. https://thehackernews.com/2026/02/researchers-find-341-malicious-clawhub.html 6. https://www.hostinger.com/tutorials/openclaw-security 7. https://www.bitsight.com/blog/openclaw-ai-security-risks-exposed-instances 8. https://docs.openclaw.ai/gateway/security 9. https://www.qianxin.com/news/detail?news_id=14490 10. https://en.wikipedia.org/wiki/OpenClaw ⚠️ 免责声明: 本文所有信息均来自公开网络资源,仅供学习参考。安全建议基于截至 2026 年 2 月的公开信息,请以官方最新文档为准。使用任何工具的风险由用户自行承担。 🦞 — END —