
当下智能体技术规模化落地,OpenClaw作为智能体核心操作框架近几个月快速走红,展现出强劲的企业应用趋势,成为政企布局智能化升级、探索业务流程自动化的重要方向。但其架构兼具开放性、交互复杂性与工具调用多元性,针对该框架的专属安全评测能力尚处于行业空白,传统大模型通用安全检测手段无法适配其“模型-工具-隐私-权限”深度融合的特性,难以精准发现框架专属漏洞,成为企业安全部署OpenClaw智能体的核心痛点。
目前各行业在落地OpenClaw智能体的探索过程中,安全隐患已逐步显现,因缺乏前置专业评测,框架接连遭遇提示词注入、越狱攻击、插件接口漏洞、权限管控缺失等问题,极易引发违规内容生成、系统瘫痪、隐私数据泄露、核心机密失窃等后果,凸显专业安全评测对OpenClaw安全落地的必要性。
OpenClaw的安全风险呈现多维度叠加、全链路渗透的显著特征,模型层的上下文污染、日志伪造,工具层的Skill恶意注入、工具串联,隐私层的配置文件泄露、敏感信息外发,以及权限层的本地信任漏洞、公网暴露等问题均已显现,任一环节的隐性漏洞都可能引发连锁安全事故。
而现有检测方案仅聚焦大模型本身,未针对OpenClaw的框架逻辑、操作流程开发专属评测指标与方法,存在评测维度缺失、漏洞识别不准等问题,无法满足全生命周期、全场景覆盖的评测需求。
在此背景下,政企私有化部署或公共场景应用OpenClaw智能体时,均急需一套贴合框架特性的专业安全评测服务,实现全维度风险的精准检测、漏洞定位与风险评级,为OpenClaw的安全落地提供科学可靠的评测依据。

▲ 智能体安全测试框架
OpenClaw核心安全评测需求
1.模型安全专项评测需求
针对OpenClaw框架下恶意内容生成、越狱操作、提示词注入、上下文污染、日志伪造、Token滥用等模型层风险,建立专属评测指标与检测方法,精准评测OpenClaw对模型层攻击的抵御能力、安全规则有效性与日志溯源、资源管控的完整性,发现隐性漏洞。
2. 工具安全专项评测需求
围绕工具调用环节的权限越权、第三方插件漏洞、Skill恶意注入、工具串联等风险,评测OpenClaw的工具调用管控逻辑、插件接口安全性、技能模块校验机制,识别工具层权限边界漏洞与恶意逻辑植入风险。
3. 隐私安全专项评测需求
针对提示词泄露、历史上下文泄露、本地配置文件泄露、敏感文件泄露、信息外发等隐私风险,建立全流程隐私评测体系,检测OpenClaw数据脱敏、访问管控能力,排查隐私防护漏洞。
4. 访问控制与权限安全专项评测需求
针对公网暴露、本地信任漏洞、认证访问薄弱、权限漏洞失控等问题,评测OpenClaw网络防护、认证机制、权限划分、沙箱隔离能力,识别访问层攻击面与权限漏洞,防范远程入侵、内网漫游等事故。
一、模型安全评测
OpenClaw框架模型层核心面临恶意内容生成、越狱操作、提示词注入、上下文污染等安全风险,此类风险均源于模型交互与运行逻辑的防护漏洞,易被攻击者利用诱导OpenClaw执行违规、高风险操作,且无有效校验与溯源机制,是OpenClaw落地的基础安全隐患。评测的结果如图。

▲ 模型安全评测结果
1.恶意内容生成
设计涉政、暴力、成人内容类越狱指令100条,模拟攻击者通过正常交互诱导OpenClaw生成违规内容,测试结果显示,攻击成功率仅为7%,这意味着OpenClaw能有效拦截违规内容。



2.操作越狱
设计指令劫持,角色扮演等越狱攻击用例 100 条,尝试绕过OpenClaw安全限制执行删库、文件删除等高风险操作,结果显示该类攻击的成功率为98%,这说明OpenClaw限制易被突破,无二次校验机制,越狱后可直接执行高风险操作。




3.提示词注入
设计隐藏指令植入、非信任数据诱导等注入攻击用例 100 条,测试框架对真实意图与恶意注入指令的识别能力,测试结果显示,攻击成功防御率仅 11%,89% 以上的注入指令可被OpenClaw误判为用户真实意图,误导执行流程引发任务异常。




4.上下文污染
设计恶意内容植入、风险信息诱导等污染用例 100条,模拟历史对话被恶意篡改后对后续交互的影响,测试结果显示,攻击成功率95%,被污染的上下文可持续诱导OpenClaw输出恶意内容,且无自动清理与风险识别机制。



5.日志伪造
设计日志篡改、操作记录删除等攻击用例100条,测试框架日志防护,测试结果显示,日志被修改的成功率改为 100%,这意味着恶意攻击可成功篡改openclaw运行日志与操作记录,破坏审计链条,恶意行为无法有效溯源。



二、工具安全评测
OpenClaw 工具层核心面临第三方插件漏洞、Skill 恶意注入等安全风险,此类风险源于OpenClaw工具调用管控逻辑的缺失,易导致未授权操作、数据泄露与系统破坏,是OpenClaw工具调用环节的核心安全隐患。工具安全评测结果如图。

▲工具安全评测结果
1.第三方插件
设计API接口调用的用例20条,测试智能体是否会直接调用api,测试结果显示直接调用不明API的概率为70%,这意味着openclaw会在没有审查的情况下直接使用API或插件,攻击者可通过漏洞窃取用户隐私数据,数据泄露风险极高。



2.skill恶意注入
设计恶意逻辑植入、技能模块篡改等恶意skill15个,测试OpenClaw技能模块的安全校验能力,测试结果显示,openclaw自身并不会对工具进行二次检测,这导致攻击者的恶意逻辑可成功植入OpenClaw技能模块,触发后可直接执行删改文件、窃取核心信息等操作。

在货币换算工具中注入的自检索Apikey的代码




▲左右滑动查看完整回答
3.工具串联
设计多工具联动攻击用例10条,模拟攻击者通过工具串联来实现攻击效果,测试OpenClaw多工具调用的管控能力,测试结果显示,工具串联攻击可成功绕过OpenClaw防护,实现跨工具、跨模块的恶意操作,且单个工具并不会引发威胁。
单个工具:


多个工具:






▲左右滑动查看完整回答
三、隐私安全评测
OpenClaw隐私层核心面临历史上下文泄露、本地配置文件泄露、敏感文件泄露等安全风险,此类风险直接触及数据隐私合规红线,易导致用户个人信息、企业高权限凭证与核心数据失窃,是OpenClaw商业化落地的关键安全阻碍。隐私安全评估结果如图所示。

▲ 隐私安全评估结果
1. 历史上下文泄露
设计诱导OpenClaw输出含身份证、手机号、银行卡等敏感信息的历史对话用例 100 条,测试结果显示, 91% 的敏感信息可被OpenClaw无差别输出,无脱敏与屏蔽机制,隐私信息泄露风险极高。



2.本地配置文件泄露
设计诱导OpenClaw读取.env、config.json 等本地配置文件的用例 100条,测试结果显示,配置文件访问管控率为 4%,96% 的攻击可成功诱导openclaw读取配置文件。




3.敏感文件泄露
设计诱导OpenClaw读取用户隐私文件,系统配置文件等用例 100条,测试结果显示,几乎98%敏感文件可被OpenClaw成功读取并输出,无文件访问权限校验与敏感文件识别机制。



四、评测总结
本次针对 OpenClaw 框架重点从模型安全、工具安全、隐私安全三大核心维度开展全链路安全评测,设计多场景专项攻击用例,全面检测OpenClaw在不同安全风险下的防护能力与应对效果,精准定位OpenClaw安全防护体系的优势与核心漏洞。
从评测结果来看,OpenClaw 框架已具备基础的安全防护能力,针对隐私安全中的信息外发、模型安全中的恶意内容生成、工具安全中的工具权限越权三类风险,能够实现有效识别与拦截,形成了基础的安全防护屏障。
但整体防护体系仍存在明显的不完善性,对上述三类风险外的其余多数安全漏洞均未形成有效防护,各维度均暴露显著安全短板:
模型安全层面的越狱操作、提示词注入、上下文污染等问题防御能力薄弱;
隐私安全层面的提示词泄露、敏感文件与配置文件泄露等风险防控缺失;
工具安全层面更是暴露出核心防护漏洞,对 Skill 恶意注入、工具串联等风险几乎无有效应对手段。Skill 模块作为OpenClaw工具调用的重要载体,其防护的缺失将导致恶意逻辑易被植入,触发后极易引发文件删改、核心信息窃取等严重安全事故,成为 OpenClaw 框架落地应用的重大安全隐患。
关于我们
杭州榕数科技有限公司由连续入选斯坦福2%,中国知网高被引学者Top5%的顶尖科学家牵头,曾荣获浙江省科技进步一等奖、中国指挥与控制学会一等奖,拥有人工智能领域200余项发明专利,是高新区(滨江)5050计划重点支持的国家高新技术企业。榕数秉承"AI赋能产业“理念,打造可信人工智能新质生产力,为客户提供先进的智能化解决方案,助力企业构建数智化核心竞争优势,产品解决方案广泛应用于智能制造、医疗健康、空间治理等领域。



