2025年爆火的AI开源框架OpenClaw,GitHub星标登顶,却成安全漏洞集大成者!110个漏洞、13.5万暴露实例、20%恶意插件,还有木马偷信息!听我们拆解这颗AI界的“定时炸弹”。
项目概况
OpenClaw(前身为 Clawdbot、Moltbot)是 2025 年 11 月上线的开源 AI Agent 框架,被定义为"真正可以执行任务的 AI"。该项目以惊人速度成为 GitHub 历史上增长最快的现象级项目之一,上线以来累计超过 200,000 颗星。
核心能力与权限需求
OpenClaw 拥有以下核心能力:
信息处理:浏览网页、总结 PDF、分析截图
日程管理:安排日历事项、发送提醒通知
商务自动化:在线购物、处理电子邮件
系统集成:读写本地文件、控制桌面应用
通信集成:集成 WhatsApp、Telegram、Slack 等主流消息平台
持久化记忆:记住数周甚至数月前的交互记录
为实现上述功能,OpenClaw 需要获取用户的根文件权限、认证凭证(包括密码和 API 密钥)、浏览器历史和 Cookie,以及系统内所有文件和文件夹的访问权限。
安全风险概览
1. 漏洞层面风险
已披露漏洞数量:至少达 110 个(截止 2026 年 2 月 28 日)
高危漏洞:其中 3 个漏洞已有公开的 PoC(概念验证)代码,攻击者可直接利用
修复进度:截至 2026 年 2 月 26 日,已修复超过 40 个漏洞
2. 暴露面风险
公网暴露实例:超 13.5 万个(覆盖 82 个国家)
可被 RCE 利用:至少 12,812 个实例存在远程代码执行风险
最新数据:3 月初发现超 40,000 个暴露实例,63% 部署存在漏洞
3. 供应链风险
ClawHub 插件平台:存在超过 820 个恶意插件,占插件总数约 20%
技能增长失控:从 2,800 个飙升至 18,140 个(三周内增长 550%)
发布门槛极低:仅要求发布者拥有超过一周的 GitHub 账户
4. 企业部署风险
影子部署:22% 的受监控企业中发现员工私自安装 OpenClaw
绕过管控:未授权部署形成隐蔽的安全风险点
5. 恶意软件感染
实际感染证据:Vidar 木马变种已成功感染 OpenClaw 实例
信息窃取:出现基于该平台的信息窃取行为
重大安全漏洞详解
CVE-2026-25253(核心高危漏洞)
CVSS 评分:8.8(高危)
漏洞类型:错误资源传输/跨站 WebSocket 劫持
影响版本:v2026.1.29 之前版本
攻击机制:Control UI 从 URL query string 读取 gatewayUrl 时未做验证,自动建立 WebSocket 连接并发送认证 Token
PoC 状态:已公开
命令注入漏洞(3 个高危)
CVE 编号:CVE-2026-24763 / CVE-2026-25157 / CVE-2026-25475
漏洞类型:命令注入
攻击机制:用户可控输入未经充分过滤即传递给系统命令执行器
PoC 状态:已公开
其他高危漏洞
CVE-2026-26322:SSRF(服务端请求伪造),CVSS 7.6
CVE-2026-26329:路径穿越(Path Traversal)
CVE-2026-27001:日志投毒导致 Prompt Injection
ClawHavoc 供应链攻击活动
攻击规模
恶意技能数量:335 个(在 2,857 个审计技能中发现)
伪装策略:针对不同用户群体的精准伪装加密货币用户:111 个恶意技能
YouTube 创作者:57 个恶意技能
预测市场用户:34 个恶意技能
开发者:28 个恶意技能
攻击技术特征
域名抢注(29 个仿冒名称)
虚假系统提示
时间延迟攻击(数小时或数天才激活)
批量生成与快速扩散
单个上传者发布 677 个恶意包
攻击载荷类型
外部恶意软件分发:技能包含恶意软件下载链接
混淆数据外溢:通过 base64、Unicode 混淆窃取凭证
安全禁用与破坏:诱导关闭安全机制、修改系统配置
配置错误风险
典型错误配置
默认绑定 0.0.0.0:监听所有网络接口而非仅本地回环
认证关闭:旧版本默认不启用认证
WebSocket Origin 校验关闭:导致 CSRF 攻击
明文凭据存储:API 密钥、密码以明文形式存储
真实利用事件
Shodan 扫描事件:研究员成功访问数百个实例的 API 密钥、Bot Token、聊天记录
Moltbook 数据泄露:150 万个 API 认证 Token、35,000 个邮件地址泄露
Vidar 木马感染:配置文件被窃取,包含完整 Agent 操作上下文
攻击向量分析
攻击场景一:公网暴露实例直接攻击
前提:无认证或弱认证,监听公网 IP
攻击者可直接访问:控制面板、WebSocket 端口、明文凭据、聊天历史、已集成服务
攻击场景二:本地浏览器劫持
前提:运行未打补丁版本(< v2026.1.29),即使仅监听 localhost
攻击路径:恶意网站 → 用户浏览器 → 向 localhost:18789 发起 WebSocket 连接 → 窃取 Token → 获得完整控制权
加固建议
对企业用户
紧急处置与基础防护
升级至 v2026.2.26 及以上版本
全面轮换关联凭证(LLM API 密钥、消息应用 Token 等)
核查公网暴露情况,及时整改
强制网关仅监听 127.0.0.1:18789
配置防火墙,拒绝 18789 端口公网入向流量
启用密码认证(16 位以上强密码)
定期轮换 Gateway Token
为 Control UI 配置独立浏览器 Profile
长效安全管控
仅安装经审核通过的 ClawHub 技能
新技能部署前需在隔离环境完成代码审查
监控 18789 端口异常连接行为
监控 mDNS 广播,发现未申报的实例
将 OpenClaw 纳入影子 IT 扫描范围
制定专项使用政策,纳入标准变更管理流程
对个人用户
安全意识提升:充分认识安全风险,按照最佳实践配置
环境隔离:考虑在虚拟机或容器中使用
敏感信息保护:避免让 OpenClaw 访问敏感信息
行为监控:监控网络连接和文件访问
定期检查:检查系统异常行为
应急响应准备:定期备份重要数据,发现异常时立即隔离系统
核心警示
OpenClaw 安全危机不仅是一个具体项目的安全问题,更是整个 AI Agent 技术发展过程中的重要警示。它提醒我们:
技术革新与安全治理必须同步:在追求技术创新的同时,必须同步考虑安全治理
便利性与风险的权衡:享受自动化便利的同时,必须清醒认识潜在风险
供应链安全的重要性:开放生态需要严格的安全审核机制
用户安全意识的关键性:技术安全措施需要配合用户的安全意识
OpenClaw 的案例表明,AI Agent 具有巨大的潜力和价值,但其安全挑战也同样巨大。只有通过技术社区、企业用户、安全研究人员和政策制定者的共同努力,才能建立一个既能够促进创新又能够保障安全的 AI 生态系统。
Ireland