OpenClaw安全风波:27万实例裸奔公网,你的智能体计算机真安全吗?
摘要: 工信部预警、CVE高危漏洞、恶意插件窃密——OpenClaw默认配置下的安全风险远比你想象的大,这份防护指南帮你逐一堵住漏洞。
一、工信部亮红灯:OpenClaw不是装上就能用
2026年5月,工信部国家信息安全漏洞库(NVDB)发布了一条让整个AI Agent社区震动的安全预警:OpenClaw部分实例在默认配置下存在高危风险,建议所有用户立即排查。
这不是小题大做。根据安全机构扫描数据,全球超过27万个OpenClaw实例因配置不当直接暴露在公网上,其中大量实例未启用任何认证机制,相当于把一台装满私人数据和API密钥的电脑大门敞开放在互联网上。
问题出在哪?OpenClaw的设计哲学是"开箱即用",默认配置优先考虑便捷性而非安全性。对于在本地开发环境试水的开发者,这没什么问题;但一旦部署到服务器、云主机甚至智能家居设备上,默认配置就成了最危险的短板。
NVDB预警特别指出了三类风险:未认证的Gateway暴露、第三方Skills权限控制不足、以及Agent执行环境缺乏沙箱隔离。这三类风险单独看都很严重,而在默认配置下它们往往同时存在,风险叠加后远超任何单一漏洞的危害。
后续的独立安全扫描更揭示了问题的规模:在27万+暴露实例中,约62%运行着未打补丁的旧版本,78%未配置任何认证,91%仍在使用默认端口号。这不是个别用户的疏忽,而是软件默认行为导致的系统性问题。
二、CVE-2026-25253:ClawJacked远程接管漏洞全解析
最令人警惕的是澳大利亚安全公司Dvuln披露的CVE-2026-25253漏洞,CVSS评分高达8.8(高危)。他们给这个漏洞起名"ClawJacked"——意即OpenClaw实例被劫持。
漏洞原理: ClawJacked利用了OpenClaw Gateway默认监听端口未强制认证的设计缺陷。Gateway是所有Agent通信的核心枢纽,负责会话管理、工具调用路由和凭证存储。攻击者只需知道目标IP和端口,就能通过标准HTTP请求直接与Gateway通信,无需任何授权即可执行以下操作:
- 读取智能体全部对话历史,包括私人消息中的敏感个人信息、财务数据和机密商务讨论
- 提取配置文件中的API密钥和访问凭证,可能涉及云服务(AWS、Azure、GCP)、数据库连接、支付网关令牌和第三方服务集成
- 以智能体身份执行任意操作,包括发送邮件、操作文件系统、调用外部API
- 植入恶意Skills实现持久化控制,确保即使初始漏洞被修复,攻击者仍保留后门
Dvuln的技术报告揭示,该漏洞的利用极为简单——一条基础的curl命令即可从未认证的Gateway获取完整对话日志,无需特殊工具或专业知识。
在验证攻击时,Dvuln研究人员发现大量暴露实例甚至没有修改默认端口号,用Shodan和Censys等搜索引擎就能批量定位。他们演示了一次概念验证扫描,5分钟内就识别出超过1万个脆弱实例。
影响范围: 所有未启用认证的OpenClaw实例,特别是直接暴露公网的Gateway服务。截至漏洞披露日,受影响实例数超过27万。该漏洞影响v4.5之前的所有OpenClaw版本。
尤其危险的是,OpenClaw智能体通常处理的数据性质决定了攻击后果的严重性。与可能只暴露静态内容的Web服务器不同,OpenClaw实例中存储着用户的个人凭证、API密钥和工作流自动化配置。攻破一个OpenClaw实例不是篡改一个网页——更像是把你的数字生活的完整控制权交给了别人。
三、不止于漏洞:两大新型风险浮出水面
ClawJacked只是冰山一角。腾讯电脑管家安全团队和密码管理巨头1Password分别从不同角度指出了OpenClaw生态中更深层的风险——这些风险不是单一补丁能解决的。
风险一:权限失控与"过度授权的Skill"
腾讯电脑管家的安全报告指出,OpenClaw的权限模型存在"宽进严出"的结构性问题。用户在安装Skills(技能插件)时,往往一次性授予过多权限——文件系统读写、完整网络访问、系统命令执行——而缺少细粒度的权限控制。
根本原因可以理解:OpenClaw的Skill安装流程设计追求简洁,一键安装的体验让用户很少停下来审视授予了什么权限。权限提示在存在时,往往以一长串列表呈现,用户本能地点击同意而不会逐条阅读。
这意味着一个恶意或存在漏洞的Skill,可以在用户毫不知情的情况下:访问整个文件系统(包括文档、照片和配置文件);窃取Chrome、Firefox、Edge等浏览器的Cookie和保存的密码;安装后门程序或持久化守护进程;利用Agent的网络访问与外部命令控制服务器通信;甚至修改其他已安装的Skill以横向传播恶意代码。
更麻烦的是,OpenClaw目前的权限审计机制还不够完善,用户无法生成一份全面的报告来查看每个Skill访问或修改了什么。腾讯报告还特别指出了"依赖链"问题:一个看似无害的Skill可能依赖一个有漏洞的共享库,形成用户难以识别的传递性风险。
风险二:插件供应链安全与恶意Skills的蔓延
1Password的安全团队发出了更具体也更令人不安的警告:他们发现多个恶意Skills伪装成流行实用工具在OpenClaw Skills市场流通。这些Skills有着无害的名字——"文件格式转换器Pro""快捷翻译Plus""智能文档整理器"——实际在后台窃取用户的密码数据库、浏览器凭证、加密钱包私钥和SSH密钥。
攻击模式遵循一套成熟的套路:恶意Skill包含合法功能(文件转换器确实能转换文件)和隐藏的数据窃取代码,这种双重功能确保获得正面用户评价并避免早期发现;恶意载荷在安装后延迟48-72小时才激活,使数据窃取更难与安装行为关联;窃取的凭据先在本地加密暂存,然后一次性批量外传以减少可能触发监控的出站网络请求数量;数据经多个代理服务器中转后到达攻击者收集点,掩盖最终目的地。
1Password的调查显示,至少7个恶意Skill在被检测和移除前已累计被超过1.5万用户安装。窃取的数据包括约2.3万条唯一凭据,涵盖银行、邮件、社交媒体和云存储服务。与npm、PyPI等成熟的包管理生态相比,OpenClaw的Skills市场尚处于早期阶段,审核机制和安全扫描都还不够健全,一个恶意Skill从上传到被发现,中间可能有数周甚至数月的"窗口期"。
四、安全使用全攻略:六步堵住所有漏洞
风险明确之后,防护方案也就清晰了。以下六条建议按优先级排序,越靠前越关键,应立即执行。
第一步:启用Gateway认证(必须)
这是你能采取的最重要的一项安全措施:
- 设置强密码或至少32位随机生成的API Token,绝不使用默认凭证或字典词汇
- 启用TLS加密通信,所有客户端与Gateway之间的流量必须加密
- 绝对不要将未认证的Gateway暴露到公网,如需远程访问请使用VPN或SSH隧道
- 如果你只是本地使用,将Gateway绑定到
127.0.0.1而非0.0.0.0,从网络层面杜绝外部访问
启用认证后,务必验证:尝试不提供凭据连接——连接应被立即拒绝。
第二步:修改默认端口
默认端口是自动化扫描器的首要目标。切换到非标准端口号(建议49152-65535范围),配合防火墙规则限制已知IP范围的访问,可以规避90%以上的自动化扫描攻击。
第三步:沙箱隔离运行
将OpenClaw运行在沙箱环境中,限制其对文件系统和网络的访问。Docker容器是当前最简便的方案:为每个Agent创建独立容器,设置只读根文件系统、网络限制和资源限额,绝不使用--privileged标志。更高安全需求可考虑gVisor或Kata Containers。
第四步:权限最小化原则
每个Skill只授予完成任务所需的最低权限。安装前审视请求权限——翻译工具要文件系统写入权限就是红旗。定期审计已安装Skills的权限列表,删除不再使用的插件。涉及敏感操作的Skill务必审查源码。按任务类别创建权限配置文件,如"内容创作"配置允许文件读取但限制网络访问。
第五步:及时更新
OpenClaw在2026年4月v4.5版本中进行了大规模安全硬化,修复了包括ClawJacked在内的多个已知漏洞。确保实例运行最新稳定版本是最低成本的安全措施。建立定期更新节奏(至少每周检查一次),订阅安全邮件列表,更新时务必查看版本说明中与安全相关的变更。
第六步:监控与审计
启用Gateway级操作日志,配置异常行为告警:异常工具调用模式、非工作时段活动、批量数据访问、失败认证尝试。定期审查审计日志——个人部署至少每周一次,业务关键实例每天一次。考虑将OpenClaw日志集成到SIEM系统中实现自动化威胁检测。
五、小白用户怎么办?让专业的人做专业的事
以上六步对于有Linux运维经验的开发者来说不算困难,但对于非技术背景的用户——电商运营、自媒体创作者、中小企业主——逐项配置安全策略几乎是不现实的。大多数非技术用户没有评估Skill权限、配置Docker沙箱或设置TLS证书的专业知识,他们安装OpenClaw是因为想让智能体帮忙干活,而不是想成为兼职安全管理员。然而,安全漏洞的后果——凭证被盗、账户被攻破、数据被窃取——对他们同样严重。
这正是铠盒智能体计算机的出发点:提供7×24小时稳定运行的OpenClaw部署环境,出厂已完成全部安全加固。物理隔离确保你的智能体不会暴露在公网;默认启用认证和沙箱;预装的安全策略由专业团队持续维护更新;精选Skills市场中的插件均经过安全审查;自动化监控和告警无需用户干预即可检测和响应异常行为。
你只需要专注于让智能体帮你干活,安全这件事交给专业基础设施来兜底——就像大多数人选择用云邮箱而不是自建邮件服务器一样:做好安全所需的专业知识是巨大的,而犯错的代价同样很高。
OpenClaw的安全问题不是"要不要管"的选择题,而是"谁来管、怎么管"的方案题。对于大多数用户,选择一个靠谱的托管环境,远比自己从零搭建安全体系更明智。
铠盒智能 | 小白也可以使用的7×24小时工作的智能体计算机 · openclaw专区追踪