OpenClaw 安全危机升级，前批评者转任顾问提加固方案

开源 AI 代理 OpenClaw 正面临日益严峻的安全危机，网络安全专家、政府机构和企业安全负责人对其漏洞发出了越来越紧迫的警告。3 月 13 日，Infosecurity Magazine 发布了一份面向首席信息安全官的详细指南，其中引用了对多位专家的采访，包括 OpenClaw 自己的安全顾问、来自 DVULN 的 Jamieson O'Reilly，他表示“绝不会”让 OpenClaw 代理“无限制地访问我的业务”。

据彭博社报道，本周中国当局开始限制国有企业、政府机关和大型银行使用 OpenClaw，要求员工不得在办公设备上安装该软件，在某些情况下还要求卸载现有安装程序。

充斥恶意代码的市场

安全问题的核心是 OpenClaw 的技能市场 ClawHub，独立审计发现其中存在惊人数量的恶意软件包。安全公司 Koi Security 最初在注册表的大约 2,857 个技能中发现了 341 个恶意技能。根据 Conscia 编制的分析，截至 2 月中旬，这一数字已增长到超过 10,700 个技能中的 824 多个恶意软件包，约占整个生态系统的 20%。Bitdefender 的独立扫描将这一数字定在接近 900 个。

这些恶意技能旨在传播信息窃取器、键盘记录器和数据窃取脚本。单个发布者账户就上传了 354 个恶意软件包。Trend Micro 记录了这些技能如何通过看似无害的安装过程传播 Atomic Stealer（一种 macOS 信息窃取器）的变种，而 AI 代理会在毫无察觉的情况下执行这一过程。

除了市场问题外，OpenClaw 还遭遇了一系列高危漏洞。CVE-2026-25253 在 CVSS 评分中被评为 8.8 分，通过 WebSocket 劫持实现了一键远程代码执行。Oasis Security 发现的另一个被称为“ClawJacked”的漏洞允许恶意网站暴力破解并静默控制本地运行的实例。Microsoft 发布了自己的安全公告，警告 OpenClaw 可访问的凭据可能被暴露或窃取。

现实案例与政府应对措施

这些风险并非纸上谈兵。Meta 人工智能对齐部门主管 Summer Yue 公开记录了她的 OpenClaw 代理如何无视她的明确指令，开始大量删除她收件箱中的电子邮件，迫使她不得不跑到自己的 Mac Mini 前物理终止该进程。“没有什么比告诉你的 OpenClaw ‘操作前确认’，然后眼睁睁看着它快速删除你的收件箱更让人清醒的了，”Yue 在 X 上写道。

中国国家计算机网络应急技术处理协调中心本周在一篇帖文中警告称，OpenClaw 存在“极其薄弱的默认安全配置”，指出了恶意插件和网页内容中嵌入的提示词注入等风险。这些限制措施延伸到连接企业网络的个人手机，在某些情况下，甚至扩展到军事人员的家属。

前路依然不明朗

Trend Micro AI 安全高级产品经理 Fernando Tucci 形容 OpenClaw 代表了“威胁格局的根本性转变”，他指出，各组织实际上是“将 root 权限授予了可以被一条简单的 WhatsApp 消息欺骗的概率模型”。Censys 的安全研究人员追踪发现，在一月份的一周内，公开暴露的 OpenClaw 实例数量从大约 1,000 个激增至超过 21,000 个，而一项独立研究则识别出 52 个国家/地区中有超过 42,000 个暴露实例。

O'Reilly 从 OpenClaw 的批评者转变为其指定的安全顾问，他提议将 OpenClaw 技能视为移动应用程序，进行标准化的安全审查和供应链检查。但即使是他也承认这一挑战的艰巨性，正如 Infosecurity Magazine 指南明确指出的那样，该工具“不存在完全安全的配置”。