Table of contents

  1. OpenClaw 安全指南:7个你必须知道的安全挑战
  2. 1. 一键远程代码执行:WebSocket 劫持
  3. 2. 恶意技能:ClawHub 上的陷阱
  4. 3. 暴露的实例:42,000+ 个 OpenClaw 跑在公网上
  5. 4. 环境变量注入:CVE-2026-22177
  6. 5. Moltbook 数据泄露:2.8 百万 agent 的噩梦
  7. 6. 持久记忆:攻击者的金矿
  8. 7. 子代理失控:自动化带来的风险
  9. 最佳实践:如何安全地使用 OpenClaw
  10. 1. 使用沙箱隔离
  11. 2. 在云上运行
  12. 3. 及时更新
  13. 4. 审查技能
  14. 5. 限制权限
  15. 小结

OpenClaw 安全指南:7个你必须知道的安全挑战

3/29/2026 / 4 minutes to read / Tags: openclaw, security, ai

OpenClaw 不是一个普通的聊天机器人。

它能读写你的文件、执行终端命令、操控浏览器、管理日历——它拥有你账户的全部权限。这种设计让它成为真正有用的个人助手,但同时也创造了一个巨大的攻击面。

安全研究人员已经发现了 512 个漏洞(其中 8 个严重级别),341 个恶意技能被上传到 ClawHub 技能市场,超过 42,000 个实例暴露在公网上。

这不是说你不应该用 OpenClaw。而是说,在你让它跑起来之前,你需要知道这些风险。

1. 一键远程代码执行:WebSocket 劫持

这是目前发现的最危险的漏洞之一。

CVE-2026-25253 允许攻击者通过一个恶意链接,在你点击的瞬间获得你机器的控制权。

原理:OpenClaw 的本地服务器曾经不验证 WebSocket 的 origin 头——任何网页都可以静默连接到你正在运行的 agent。

攻击链条:

  1. 你点击一个恶意链接
  2. 网页连接到你的本地 OpenClaw 实例
  3. 攻击者窃取你的认证 token
  4. 获得 gateway API 的操作权限
  5. 读取文件、修改配置、执行命令

修复版本:2026.1.29。如果你还在用旧版本,现在就更新。

2. 恶意技能:ClawHub 上的陷阱

ClawHub 是 OpenClaw 的技能市场。任何人都可以发布技能。

安全研究人员发现了 341 个恶意技能,它们会:

  • 窃取加密货币钱包
  • 窃取 API 密钥和凭证
  • 上传你的私人数据到外部服务器

防护措施

  • 安装前审查技能代码
  • 使用 clawhub audit --local 扫描已安装的技能
  • 只从可信来源安装技能
  • 定期检查已安装技能的行为

3. 暴露的实例:42,000+ 个 OpenClaw 跑在公网上

很多人直接把 OpenClaw 暴露在公网上,没有启用认证。

结果:

  • API 密钥泄露
  • 私人消息被读取
  • 整个 gateway 被接管

检查你的配置

Terminal window
# 确保认证已启用
openclaw configure --section auth


# 检查 gateway 是否暴露
curl http://localhost:3000/status

建议:永远不要把 OpenClaw 直接暴露在公网上。使用反向代理 + 认证,或者跑在 VPN/Tailscale 后面。

4. 环境变量注入:CVE-2026-22177

CVE-2026-22177 允许攻击者通过恶意环境变量在启动时执行任意代码。

影响版本:2026.2.21 之前的所有版本。

这是一个典型的供应链攻击向量——如果你从不信任的来源安装 OpenClaw,或者使用了被污染的环境变量,攻击者可以在你的机器上执行代码。

防护

  • 始终从官方渠道安装
  • 更新到最新版本
  • 审查你的环境变量来源

5. Moltbook 数据泄露:2.8 百万 agent 的噩梦

Moltbook 是一个 Reddit 风格的平台,上面有超过 280 万个 AI agent 在互动。

它的数据库曾经完全暴露——任何人都可以读取和修改任何 AI agent 的数据。这意味着:

  • 私人对话泄露
  • Agent 配置被篡改
  • 凭证被盗用

教训:如果你使用第三方平台托管 OpenClaw agent,了解他们的安全实践。敏感数据最好留在本地。

6. 持久记忆:攻击者的金矿

OpenClaw 有跨会话的记忆能力。它会记住你说过的话、做过的事、存储的文件。

这对攻击者来说是金矿:

  • API 密钥
  • 账户凭证
  • 私人对话
  • 项目信息

建议

  • 定期清理记忆文件
  • 不要让 agent 记住敏感信息
  • 检查 ~/.openclaw/workspace/memory/ 目录的内容

7. 子代理失控:自动化带来的风险

OpenClaw 可以生成子代理来并行执行任务。这很强大,但也带来了风险:

  • 子代理可能执行你没想到的操作
  • 权限继承可能导致权限泄露
  • 调试困难,问题可能被放大

建议

  • 限制子代理的权限范围
  • 监控子代理的行为
  • 在隔离环境中测试复杂任务

最佳实践:如何安全地使用 OpenClaw

1. 使用沙箱隔离

OpenClaw 支持 Docker 沙箱。开启后,所有工具执行都在容器内进行,限制了文件系统和进程访问。

Terminal window
# 启用沙箱
openclaw gateway start --sandbox

2. 在云上运行

不要在你的主力机上直接跑 OpenClaw。使用:

  • DigitalOcean 1-Click Deploy
  • 独立的虚拟机
  • 容器化部署

这样即使出问题,也不会影响你的个人数据。

3. 及时更新

OpenClaw 的安全补丁发布很快。保持更新:

Terminal window
npm update -g openclaw

4. 审查技能

安装任何技能之前:

  • 阅读 SKILL.md 文件
  • 检查脚本和依赖
  • 使用 clawhub audit 扫描

5. 限制权限

不要给 OpenClaw 你账户的全部权限:

  • 使用专门的 API 密钥
  • 限制文件访问范围
  • 考虑使用专门的账户

小结

OpenClaw 是一个强大的工具。它的设计哲学是”给 AI 尽可能多的权限,让它能做尽可能多的事”。

这个哲学带来了惊人的能力,也带来了真实的风险。

安全不是用来阻止你使用 OpenClaw 的——它是让你能安心使用的前提。

记住

  • 更新到最新版本
  • 在隔离环境中运行
  • 审查你安装的一切
  • 不要让它记住敏感信息

OpenClaw 的创造者 Peter Steinberger 一直在强调这些风险,官方文档也有专门的安全章节。负责任地使用这个工具,它可以成为你的超级助手;忽略安全,它可能成为你的噩梦。

安全是使用任何强大工具的前提。希望这篇文章能帮助你更安全地使用 OpenClaw。

← Back to blog