OpenClaw爆火背后的安全风险与加固指南

文章总结： 文档分析了开源AI智能体OpenClaw的安全风险，指出其因默认配置不当导致公网暴露实例超12万，存在认证绕过、命令注入等大量高危漏洞。文中梳理了具体攻击面与CVE详情，提出了环境隔离、访问控制、供应链审核及凭证加密等针对性加固建议，强调企业在部署AI智能体时需重视基础安全建设。 综合评分： 88 文章分类： AI安全,漏洞预警,漏洞分析,安全建设,解决方案

华顺信安

2026年3月12日 17:35 北京

2026年初，开源AI智能体OpenClaw（俗称“龙虾”）在技术社区迅速走红，GitHub星标数短期内突破25万，多家主流云厂商已宣布支持。该产品通过网关（Gateway）、智能体（Agent）、技能（Skill）与记忆（Memory）四大组件，赋予AI操作系统的执行能力，可完成邮件处理、代码编写、API调用等任务，被视为AI从“对话”走向“行动”的关键产品。

B u t

然而，就在OpenClaw广泛部署的同时，国家工业和信息化部网络安全威胁和漏洞信息共享平台发布安全预警，指出OpenClaw在默认配置或不当部署场景下存在较高安全风险，可能引发网络攻击、敏感信息泄露等严重事件。近期已出现多起因配置错误或漏洞利用导致的安全事件，包括150万条Agent凭证泄露、AI被劫持后恶意删除邮件等案例。通过FOFA搜索暴露在公网的“openclaw”实例已超12W+，且有较为明显的增长趋势：

其中国内资产占比达到了38.6%

本文将梳理OpenClaw的攻击面与已知漏洞，为企业安全团队提供可落地的加固建议。

Part   01

OpenClaw攻击面分析

OpenClaw的核心架构使其必须与操作系统、应用程序及云端API深度交互，这带来了以下主要攻击面：

• 网关（Gateway）：处理外部请求的入口，负责验证和转发，存在认证缺失、请求伪造等风险。
• 智能体（Agent）：执行具体任务的逻辑单元，具备调用系统命令、读写文件等能力，若被劫持可直接造成破坏。
• 技能（Skill）：第三方扩展插件，类似浏览器扩展，存在供应链投毒风险。
• 记忆（Memory）：存储对话历史与凭证，若加密不当或权限错误，易导致敏感数据泄露。

1.1  OpenClaw 漏洞统计

根据国家信息安全漏洞库（CNNVD）统计，自2026年1月-2026年3月9日，共采集OpenClaw漏洞82个，其中严重漏洞12个，高危漏洞21个、中危漏洞47个、低危漏洞2个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。

需要注意的是：根据GitHub Advisory Database，OpenClaw相关的安全公告总数已达240+，其中大量公告仍在等待CVE编号分配。

1.2 漏洞类型分布分析

基于对已披露的高危及以上漏洞的分析，其漏洞类型的分布情况如下表所示。这表明权限管控和输入校验方面的缺陷是当前OpenClaw最主要的安全威胁。

| | | | | — | — | — | | 漏洞类型 | 数量 | 典型漏洞示例 | | 认证/授权绕过 | 14 个 | CVE-2026-28472 (WebSocket认证绕过), CVE-2026-28468 (跨账户Webhook), CVE-2026-28474 (显示名称欺骗) | | 命令注入 | 18 个 | CVE-2026-25157 (API命令注入), CVE-2026-24763 (沙箱逃逸命令注入) | | 信息泄露 | 2 个 | GHSA-rchv-x836-w7xp (仪表盘认证信息泄露), CVE-2026-25253 (Token泄露) | | 代码/命令执行 | 4 个 | CVE-2026-25253 (远程代码执行) | | 服务端请求伪造 | 5 个 | GHSA-6mgf-v5j7-45cr (跨域重定向导致凭证泄露) | | 路径遍历 | 15 个 | (未列在详表中的其他漏洞) | | 沙箱逃逸 | 5 个 | CVE-2026-24763 (插件沙箱逃逸) |

1.3 重点高危漏洞分析

| | | | | | | — | — | — | — | — | | 漏洞名称（编号） | 危害等级 | 漏洞描述 | 影响版本 | 修复版本 | | 跨域重定向漏洞 (GHSA-6mgf-v5j7-45cr) | 高危 | OpenClaw 的  组件存在逻辑缺陷，在跨域重定向过程中，会将自定义的授权请求头直接转发至重定向目标地址，可能导致授权凭证泄露至非可信域名。 | <= 2026.3.2 | >= 2026.3.7 | | 信息泄露漏洞 (GHSA-rchv-x836-w7xp) | 高危 | OpenClaw 的管理仪表盘存在信息泄露缺陷，网关认证相关的敏感材料会通过浏览器 URL 查询参数和 localStorage 本地存储进行传输和保存，未做加密和脱敏处理。 | <= 2026.3.2 | >= 2026.3.7 | | 远程代码执行漏洞 (CVE-2026-25253) | 高危 | OpenClaw Control UI 接受查询字符串中的  参数，且在自动建立 WebSocket 连接时，会将认证令牌直接传输至该参数指定的地址，未做域名校验。此漏洞已发现在野利用。 | < 2026.1.29 | >= 2026.1.29 | | 命令注入漏洞 (CVE-2026-25157) | 高危 | OpenClaw 的特定 API 端点存在参数解析缺陷，未对传入的参数进行严格的过滤和校验，攻击者可通过该端点注入任意系统命令。 | < 2026.1.29 | >= 2026.1.29 | | 命令注入漏洞 (CVE-2026-24763) | 高危 | OpenClaw 的插件执行接口存在沙箱机制绕过缺陷，恶意插件可突破沙箱限制，直接向接口注入任意系统命令，且命令可被直接执行。 | <= 2026.1.24 | >= 2026.1.29 | | 路径遍历漏洞 (CVE-2026-32060) | 高危 | OpenClaw 的  功能存在缺陷，当启用且未包含文件系统沙箱时，攻击者可利用包含目录遍历序列或绝对路径的恶意路径，在配置的工作目录之外写入或删除文件。 | < 2026.2.14 | >= 2026.2.14 | | 服务器端请求伪造漏洞 (CVE-2026-26322) | 高危 | OpenClaw 的 Gateway 工具中存在 SSRF 漏洞。 | < 2026.2.14 | >=2026.2.14 | | Telnyx Webhook 认证缺失漏洞 (CVE-2026-26319) | 高危 | 当  插件未配置公钥时，其 Telnyx Webhook 端点无法验证请求真实性，攻击者可伪造任意 Telnyx 事件。 | <= 2026.2.13 | >= 2026.2.14 | | 浏览器上传路径遍历漏洞 (CVE-2026-26329) | 高危 | 浏览器上传功能中存在路径遍历漏洞。 | < 2026.2.14 | >=2026.2.14 | | SSRF漏洞 (GHSA-56f2-hvwg-5743) | 高危 | OpenClaw 的 image 工具中存在 SSRF 漏洞。 | < 2026.2.2 | >= 2026.2.2 | | 授权绕过漏洞 (CVE-2026-28470) | 高危 | 当 Exec Approvals 功能启用 allowlist 模式时，存在授权绕过漏洞。攻击者可构造特殊请求，绕过 allowlist 限制，执行未授权的命令。 | < 2026.2.2 | >= 2026.2.2 | | 路径遍历漏洞 (CVE-2026-28464) | 高危 | OpenClaw 在处理  或  参数时未进行充分的路径验证。攻击者可通过构造包含路径遍历序列的参数值，读取预期目录之外的任意文件。 | < 2026.2.12 | >= 2026.2.12 |

综合上述，这些漏洞影响范围广泛，攻击者利用漏洞可在未授权状态下获取目标敏感数据、提升权限或远程执行代码。OpenClaw 2026.3.8及之前多个版本均受到漏洞影响。从分析可知，OpenClaw面临的主要安全挑战集中在：

• 身份与权限校验不足：多个漏洞因缺失必要的身份验证或授权检查导致，攻击者可绕过控制面直接操作。
• 供应链污染：第三方Skill缺乏审核机制，成为恶意代码分发渠道。
• 配置不当导致暴露面扩大：大量实例直接暴露于公网，使用默认口令或弱配置，易于被自动化扫描工具发现并利用。

PART 02

安全加固建议

针对OpenClaw的部署与使用，建议以下方面进行加固：

openclaw 配置

2.1 环境隔离与最小权限

• 隔离运行环境：将OpenClaw部署在独立的容器、虚拟机或沙箱中，避免与生产系统或办公终端混用。即便AI被劫持，攻击者也无法直接访问核心网络。
• 限制权限：根据任务需求授予最低权限。例如，若仅用于邮件整理，不应授予文件删除或数据库写入权限。可通过操作系统用户权限、API Token范围限制等方式实现。

2.2  访问控制与网络策略

• 禁止公网直连：OpenClaw网关应绑定内网或本地地址，避免直接暴露在公网。远程管理必须通过VPN或堡垒机进行身份验证和流量加密。
• 强化认证：及时升级至修复ClawJacked漏洞的版本（≥2026.2.26），确保对所有连接（包括本地）实施速率限制和密码强度策略，防止暴力激活成功教程。
• 启用防火墙规则：限制OpenClaw实例对外访问的目标，仅允许必要的域名或IP（如大模型API、企业内网服务），阻断SSRF等攻击。

2.3  供应链安全管理

• Skill来源审核：仅安装官方认证或高信誉开发者发布的Skill，对要求过高权限的Skill进行代码审查或行为监控。
• 定期扫描恶意组件：部署终端安全软件，对Skill目录及进程进行监控，防止窃密木马运行。

2.4  凭证与数据保护

• 加密存储凭证：禁止明文保存API Key、数据库密码等敏感信息，使用Secrets Manager或加密存储方案。
• 启用审计日志：记录OpenClaw的操作行为（文件访问、API调用、命令执行等），并接入SIEM系统，对异常行为（如批量删除、高频访问）设置告警。

PART 03

总   结

OpenClaw作为AI Agent的代表性产品，在推动效率提升的同时，也引入了新的攻击面。工信部的预警提示企业：部署AI智能体不能忽视基础安全配置。通过实施环境隔离、权限控制、供应链审查和凭证加密等措施，可显著降低被攻击风险。华顺信安将持续关注OpenClaw及相关生态的安全动态，为企业提供资产可见性与风险控制能力，助力AI技术在可控范围内安全落地。

END……

您在企业内部署AI Agent时遇到了哪些安全问题？

欢迎留言交流。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：华顺信安 《OpenClaw爆火背后的安全风险与加固指南》