“龙虾”(OpenClaw)安全风险分析、防范建议与安全工具菜单
时间 : 2026年03月18日
说明:这份报告的底稿是由一只名为“龙爪”的OpenClaw根据安天工程师的指令输出,安天小编在底稿基础上做了二次完善和重新编辑。“龙爪”是安天协助黑龙江省数字运营公司定制的一个OpenClaw分支版本,可以进行信息自动采编等工作。我们在冰城虾友会首次线下活动召开之际,同步发布这个报告到垂直响应平台,即展示“龙虾”的能力,也配套提供相关的安全工具菜单。
1.概述
“龙虾”是开源AI智能体OpenClaw的通俗别称,该应用因其图标是一只红色龙虾而被戏称为“龙虾”,但实际上“Claw”的英文含义是“爪”或“鳌(虾钳)”。OpenClaw从智能体的类型上属于“AI代理(AI Agent)”。它通过整合聊天工具与大语言模型能力,可在用户本地终端或云服务器上自主完成文件管理、邮件收发、软件操作、数据处理等复杂任务,标志着AI智能体从思考规划者升级为自主执行者。它既能独立执行任务,又能动态扩展技能,它被形容为“真正能干活的AI”,如果说ChatGPT出现代表AI真正张开了嘴,与人进行“自主”交流;OpenClaw则代表AI生出了“手”, “接管电脑、替人干活”,结束了AI“只会不干”的时代。
自“龙虾”推出以来,国内产业界与广大用户高度关注,各类实践应用快速落地,有力推动了我国AI智能体生态的繁荣发展。但同时也要清醒认识到,其强大的本地执行能力也带来了突出的安全挑战,需要高度重视并做好风险防范。新生事物的发展是不可阻挡的,但在张开双臂迎接它的同时,也要防范随之而来的风险。
作为本地部署运行的AI智能体,“龙虾”(OpenClaw)具备自主决策判断、持续运行、直接调用本地系统资源等核心特性,可自主完成文件操作、数据处理、服务调用等自动化任务。与此同时,其运行环境与主机系统深度融合,权限边界与信任范围模糊不清,缺少完善的隔离机制与权限管控;加之技能包社区与第三方扩展市场尚未建立统一、严格的安全审核机制,恶意投毒、代码漏洞、权限越权等问题突出,由此带来指令误执行、敏感数据泄露、系统被非法控制、供应链植入后门等一系列安全隐患,整体风险不容忽视。安天于2026年2月6日发布《利爪浩劫——面向AI代理OpenClaw技能市场的大规模投毒行动分析》报告,针对OpenClaw生态爆发的“利爪浩劫”(ClawHavoc)供应链投毒事件开展深度分析。此次攻击是AI智能体领域规模最大的供应链污染事件,攻击者利用ClawHub平台低门槛上架、无严格安全审核的机制缺陷,批量上传伪装成实用工具的恶意Skills,实现敏感数据窃取、系统权限劫持与内网持久化控制;安天CERT监测显示,仅ClawHub单一平台发现1184个恶意技能包,恶意 Skills 在中技能占比约34%,单个恶意作者最高上传677个毒化插件,充分暴露OpenClaw在扩展生态、权限边界、运行隔离上的原生安全缺陷。
国家互联网应急中心(CNCERT)及国内相关机构监测,全球已有超过23万个OpenClaw实例因默认配置不当而直接暴露在公网,其中数万个实例已发生敏感信息泄露。攻击者正利用其“一键接管”、“零点击劫持”等高危漏洞,将其转变为窃取数据、渗透内网的自动化攻击武器。
2.“龙虾”关键发展时间点
表2-1列出了自OpenClaw诞生后的一些发展关键时间点:
|
时间 |
事件 |
|
2025年11月 |
项目初创。由开发者Peter Steinberger发布初始版本,原名ClawdBot,以龙虾为项目吉祥物。 |
|
2026年1月中旬 |
关注度激增。项目在短时间内获得大量开发者关注,GitHub关注数量快速攀升。 |
|
2026年1月27日 |
首次更名。为规避潜在的商标命名争议,项目主动更名为Moltbot。 |
|
2026年1月30日 |
确立现名。正式定名为OpenClaw,进一步突显其开源属性。 |
|
2026年2月初 |
安全风险披露。社区披露CVE-2026-25253漏洞及部分供应链安全风险(如恶意Skills),引发行业对AI智能体安全的广泛关注与修复行动。 |
|
2026年2月初 |
API访问受限。部分用户遭遇第三方平台账号风控及访问限制,社区开始积极探讨合规调用方案。 |
|
2026年2月14日 |
运营模式调整。项目正式移交开源基金会运营,在获得外部资金赞助的同时,保持项目的独立开源发展。 |
|
2026年3月3日 |
登顶GitHub。v2026.3.2版本发布,项目关注数量跃升至GitHub全球首位。 |
|
2026年3月8日 |
中国生态与政策发展。中国国内互联网平台、算力企业、运营商全面跟进,部分地方政府开始探索针对此类开源AI项目的产业支持政策。 |
图2-1 OpenClaw发展简史
3.养“龙虾”面临的安全痛点
1.工具与系统来源分散混乱,行业尚未建立统一的安全审核与准入标准,非官方、非合规渠道的工具、插件、镜像包充斥市场,存在明显的供应链安全隐患。
2.仿冒攻击事件问题高发,下载站点、安装包、技能库、数据库均出现大量高仿假冒版本,钓鱼网站与诱导链接频繁误导从业人员,极易植入木马、后门与恶意代码,整体安全风险突出。
3.技能与实际业务场景适配度不足,运行稳定性欠佳,频繁出现误判、漏判、执行偏差等问题,难以满足“龙虾”智能体在文件管理、数据处理、任务执行等场景的可靠运行需求。
4.从业人员对AI代理相关安全威胁认知薄弱,风险自查与主动防护意识不足,缺少标准化风险排查流程与专业检测手段,专用安全核查工具普及率偏低,风险处置能力整体不足。
4.养“龙虾”核心风险识别与分析
图4-1 核心风险分类图谱
4.1 技能插件与生态供应链投毒
攻击者利用OpenClaw生态上下游的开源分发渠道、依赖库体系的开放性,通过投毒恶意组件、篡改合法包、植入恶意脚本等方式,实现恶意代码的规模化传播,属于典型的供应链安全威胁,是OpenClaw生态最突出的基础风险
安全事件一:2026年2月1日,国际安全团队在ClawHub平台上发现大量恶意Skills集中植入,并将相关攻击称之为“ClawHavoc”攻击行动[1],安天CERT在跟进分析中将攻击事件中文名译为“利爪浩劫”[2]。攻击者利用Skills的开放扩展机制,制作伪装成正常功能的恶意技能包并上架ClawHub,诱导用户下载安装;这类恶意技能包通常会在SKILL.md说明文件或配套脚本中,植入要求用户执行终端命令、下载运行未知二进制文件的“虚假安装步骤”,借助社会工程学手段骗取用户信任并执行高危操作,一旦用户照做,恶意代码将凭借技能包的系统访问权限直接侵入主机,最终实现对用户系统的控制、数据窃取或恶意程序植入,形成完整的攻击链路。
4.2 第三方依赖与npm包供应链投毒
在OpenClaw等高度依赖Node.js与npm庞大开源生态的AI Agent框架中,供应链投毒已成为隐蔽性极强的高危攻击向量。攻击者并非直接寻找系统主程序的代码漏洞,而是将恶意载荷植入其上游依赖库,或伪造高仿的安装包。当部署者执行常规的安装命令时,恶意包内置的自动化脚本会在后台静默触发,从而在目标主机上释放远程控制木马等恶意软件。
安全事件一:国外研究团队发现了一个恶意的npm包[3]。该包伪装成合法CLI工具,同时部署多阶段感染链,窃取系统凭据、浏览器数据、加密钱包、SSH密钥等信息,然后安装一个具有完整远程访问功能的远控木马,包括SOCKS5代理和实时浏览器会话克隆。
安全事件二:Cline CLI遭遇的一次供应链攻击事件,事故起因是一个用于GitHub Issue分类的AI机器人存在提示词注入漏洞,导致攻击者非法获取了持久化的npm发布令牌,并随即发布了未经授权的版本[4]。该恶意版本在安装脚本中植入了指令,会自动在用户系统全局安装另一个名为openclaw的开源项目。
4.3 仿冒钓鱼与社会工程攻击风险
仿冒钓鱼是攻击者常用的社会工程学手段。本例中,黑客通过SEO优化将“OpenClaw”钓鱼网站推至搜索前列,利用AI工具模拟高度仿真的界面诱导用户下载。恶意安装包释放后将植入远控木马,在追求技术效率的同时,必须对来源不明的下载链接保持高度警惕,社会工程学攻击正以更具迷惑性的形态渗透至日常工作场景。
安全事件一:黑客通过搜索引擎投放关于“OpenClaw”的仿冒钓鱼网站,下载恶意载荷释放“游蛇”远控木马。
图4-2 仿冒钓鱼网站
安全事件二:攻击者利用Bing搜索排名与GitHub官方源进行仿冒钓鱼,投递OpenClaw恶意程序[5]。该恶意程序会盗取本地机密文件与明文配置,植入GhostSocks代理组件,将受感染设备劫持为黑客的住宅代理跳板,利用其真实物理IP实施后续渗透操作。
4.4 控制平面暴露与未授权访问风险
当部署者将具备高级系统操作权限的OpenClaw运行在云端或联网主机时,因疏忽了防火墙访问控制或未启用严格的身份验证机制,导致其核心管理接口直接暴露于公共互联网。攻击者利用自动化侦察脚本全网大范围扫描这些未设防的默认开放端口,一旦成功直连其控制平面,便能绕过传统的网络安全防线,直接调用Agent内置的合法工具链(如本地Shell执行、外部文件下载等接口)下发恶意指令。这种“配置疏漏”不仅会让主机的控制权瞬间易手,更会导致服务器在后台被静默植入挖矿木马、远控后门或DDoS攻击组件,使原本用于自动化任务的AI基础设施彻底沦陷,被黑客强行编入具有极高破坏性和隐蔽性的大规模僵尸网络之中。
安全事件一:大量OpenClaw实例部署时使用了默认配置且未启用身份验证,使其在互联网上完全暴露[6]。一次安全审计就查出了超过500个漏洞,其中包括高危的远程代码执行漏洞。
安全事件二:研究人员在全网扫出了数万个暴露在公网的OpenClaw实例[7]。因为OpenClaw拥有极高的本地权限和各种API密钥,一旦控制面板被黑客扫到,黑客可直接下发执行脚本,把机器变成受控的僵尸节点,甚至利用当前的权限去内网横向移动。
安全事件三:研究人员确认有超过30000个OpenClaw实例直接暴露在互联网上[8]。更危险的是,他们监控到黑客已经在暗网讨论如何通过武器化OpenClaw的“技能(Skills)”来支持更大规模的僵尸网络攻击活动。
4.5 原生代码漏洞风险
根据国家信息安全漏洞库(CNNVD)统计,自2026年1月-2026年3月9日,共采集OpenClaw漏洞82个,其中超危漏洞12个,高危漏洞21个、中危漏洞47个、低危漏洞2个,包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw多个版本受到漏洞影响。目前,OpenClaw官方已经发布了更新修复漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。部分超危漏洞:
表4-1 OpenClaw部分超危漏洞如下
|
序号 |
漏洞名称 |
CNNVD编号 |
CVE编号 |
危害等级 |
漏洞类型 |
|
1 |
OpenClaw参数注入漏洞 |
CNNVD-202603-666 |
CVE-2026-28470 |
超危 |
参数注入 |
|
2 |
OpenClaw安全漏洞 |
CNNVD-202602-3715 |
CVE-2026-27002 |
超危 |
其他 |
|
3 |
OpenClaw访问控制错误漏洞 |
CNNVD-202603-738 |
CVE-2026-28472 |
超危 |
访问控制错误 |
|
4 |
OpenClaw安全漏洞 |
CNNVD-202603-739 |
CVE-2026-28469 |
超危 |
其他 |
|
5 |
OpenClaw命令注入漏洞 |
CNNVD-202603-599 |
CVE-2026-28484 |
超危 |
命令注入 |
|
6 |
OpenClaw安全漏洞 |
CNNVD-202603-604 |
CVE-2026-28473 |
超危 |
其他 |
|
7 |
OpenClaw安全漏洞 |
CNNVD-202603-605 |
CVE-2026-28474 |
超危 |
其他 |
4.6 数据过度抓取与隐私越界
OpenClaw为了构建精准的执行上下文,往往会无差别、跨边界地读取本地工作区文件(如包含数据库密码的.env文件、SSH密钥或核心业务代码),并将其作为提示词的一部分明文发送至第三方云端大模型,或以未加密形式长期留存于本地记忆日志中。这种缺乏数据分类分级与自动脱敏机制的“贪婪式”信息吞吐,不仅极易触碰企业数据安全与GDPR等隐私合规的红线,更将OpenClaw本身变成了一个高价值的数据金矿。更致命的是,结合间接提示词注入(Indirect Prompt Injection)攻击,黑客只需在目标读取的网页、文档或邮件中埋入隐蔽的恶意指令,就能轻松地诱导OpenClaw的决策引擎,使其在后台悄无声息地将这些过度收集的核心敏感资产直接打包外发,造成灾难性的无感数据泄露。
安全事件一:研究人员发现,OpenClaw会在本地以纯明文形式记录你所有的聊天记录、API密钥、工作偏好甚至是联系人信息[9]。如果你的电脑不小心感染了窃密木马,黑客根本不需要攻破OpenClaw的防御,直接将硬盘里MEMORY.md文件打包带走,即会造成严重的数据泄露风险。
安全事件二:研究人员发现由于智能体需要访问系统根文件[10]、凭证及API密钥,其“持久记忆”特性使得攻击者可以利用延迟执行的提示注入和逻辑炸弹,实现更隐蔽、长期的系统破坏。
安全事件三:OpenClaw的架构设计要求它持续读取来自聊天记录、第三方技能、文档和外部服务的数据来完成任务[11]。然而,它的核心缺陷在于没有在“明确的用户指令”和“不可信的第三方内容”之间建立硬性的隔离边界。AI在处理任务时,会将检索到的外部信息放在与用户直接指令相同的推理上下文中。这就给了外部不受信输入直接影响甚至接管Agent决策引擎的机会。
5.养“龙虾”风险防控措施
1.使用原厂或大厂最新版本。当前仿冒龙虾泛滥,攻击者通过SEO让下载者搜索到木马链接,大量渠道存在捆绑推广无关软件、植入恶意代码等风险。但与此同时,龙虾的版本大量分叉已经不可避免,因此部署时需要从官方站点、或大厂渠道获取最新稳定版,及时跟进新版本和更新情况,必要时及时安装。
2.严格遵循最小权限分配准则。系统部署阶段禁止直接使用管理员等高权限账户,仅为业务进程分配完成工作所需的最低权限。针对文件删除、数据外发、系统配置修改等高风险操作,应增设二次校验或人工审核机制。推荐采用容器、虚拟机等环境进行隔离部署,构建独立的权限隔离域,降低安全风险。
3.默认只启动关键技能。龙虾原厂包带有数十个技能,但其中只有不足十个是关键技能。原则上应只启用这些关键技能,对其他技能按需启动。
4.谨慎进行技能扩展。ClawHub 作为面向 “龙虾” 智能体用户的技能包社区平台,其上传的各类技能包存在被恶意投毒的安全隐患。用户也会从其他渠道或相互交换技能。部分技能包中会在Skill.md声明需要的前置软件,建议用户在下载前严格甄别来源,对下载的文件要进行安全检查,可以投放计算机病毒百科全书(Virusview.net)的文件上传分析功能进行检测,安装前务必对技能包代码进行安全审计,坚决拒绝任何要求下载 ZIP 压缩包、执行 Shell 脚本或输入账号密码的技能包。
5.构建常态化安全防护体系。启用全量日志审计,定期开展主机漏洞排查与补丁修复;主机应搭配专业网络安全工具与主流杀毒软件实现实时防护。持续关注 OpenClaw 官方安全公告, 国内CNVD、CNNVD、NVDB等权威漏洞库的风险预警,快速响应并妥善处置各类安全隐患。
6.安全工具
6.1 养虾机防护
安天智甲终端防御系统(简称“智甲”)是面向办公机、服务器、虚拟化主机等设备的终端安全防护产品。
智甲按照执行体治理安全理念设计,内置安天自主研发的AVL SDK反病毒引擎和驱动级主防、主机防火墙、应用行为管理、介质管控、邮件客户端防护(含WEB Mail)、敏感对象(目录、文件、注册表等)保护、动态关键数据备份等功能模块,支撑网络管理者实现资产管理、威胁拒止、威胁检测与分析、主机管控、事件调查等业务,打造“可管理”、“可感知”、“可防护”、“可响应”的全场景、一体化的终端安全纵深防护体系。
智甲根据龙虾(OpenClaw)进行了主防规则的专门优化,安装在养虾机后,可以有效改善养虾环境安全,防范攻击风险。
6.2 恶意Skill排查工具
Skills插件专项排查工具由安天CERT编写发布。本专查工具聚焦OpenClaw安装程序近期高频威胁,深度梳理Skills插件投毒、仿冒安装包、捆绑恶意安装包等典型风险,通过精准特征提取、威胁特征库集成与多维度行为建模,实现对已知威胁与潜在威胁的快速检出,全面覆盖系统文件排查,为OpenClaw安全落地提供可靠检测能力。
图6-1 OpenClaw恶意技能插件排查工具
6.3 在线Skills分析检测
用户可以通过安天计算机病毒百科入口(https://www.virusview.net/)提交可疑的Skills文件进行分析鉴定,与安天共同构建更安全的智能体应用生态。
图6-2 恶意Skills精准检测命名(Trojan/OpenClaw.PolySkill)
图6-3 精准格式识别,对Skill文件格式标识为(Archive/OpenClaw.Skill)
7.龙虾生态伙伴的内生安全需求
安天作为威胁检测的共性能力提供者,为网络安全、数字通讯、手机智能终端、智能装备的生态伙伴提供反病毒引擎中间件以及相关API支撑服务,使相关产品出厂即内置恶意代码检测能力。针对OpenClaw安全威胁,安天引擎进行了如下强化,以支撑使用安天引擎的网安和AI生态合作伙伴,提升OpenClaw的部署和运行安全。
相关能力改进主要围绕如下攻击点进行:基于SKILL.md下载诱导攻击(ClickFix2.0)、Skill内置恶意脚本、对OpenClaw有针对性和关联的二进制木马样本。
1.增加ClickFix攻击检测开关,对SKILL.md强化解析:打开开关后,AVL SDK引擎将不会因Makedown系文本格式而无毒跳过,而会对SKILL.md说明文档进行内容解析,精准提取其中的下载链接地址,基于本地URL库和云端接口(如打开云检测开关)进行匹配检测,并对恶意URL地址进行告警。
2.加强检测识别Skills内置的后门脚本:对Skills中内置的python、js等脚本文件进行静态特征分析和语义逻辑检测,识别其中的恶意代码逻辑,包括识别执行反弹Shell、通过网络请求外传敏感数据、未经授权访问本地文件等行为,精准判定脚本的恶意属性,发现技能植入的后门脚本。
3.强化二进制木马检测,覆盖所有OpenClaw部署环境:无论OpenClaw的安装环境是Windows、Linux还是macOS平台的二进制木马,AVL SDK引擎均可依托本地病毒库精准查杀。安天引擎支撑全体系结构和操作系统平台,完整支持X86、Arm、龙芯、申威、飞腾等架构和Windows、Linux、Android、麒麟、统信、鸿蒙、ROS等。
4.恶意Skills检测规则以独立本地库方式发布:为了满足让安天轻量级引擎产品AVLSDK Lite也能获得恶意Skills检测能力,安天将相关规则作为独立库文件发布,同时将为AI生态伙伴提供一个AVL SDK Lite的版本,便于获得轻载的安全能力。
安天引擎团队正在支撑相关生态伙伴,开发具有恶意Skills检测功能的安全Skills,为OpenClaw企业侧定制发行版提供内置引擎、安天自身的智甲EDR、追影沙箱等产品也会进行能力升级。集成该引擎的安全合作伙伴的主机安全、终端防御等产品也会获得能力更新。
优秀的反病毒引擎不仅要有超高检出率和极为严格的误报控制能力,也需要提供严谨的结构化命名。在分析响应“利爪浩劫”事件后,按照安天命名规范,以恶意代码分类/环境前缀.家族分段命名原则,将相关批次样本统一命名为Trojan/OpenClaw.PolySkill。该命名中,分类前缀“Trojan”明确样本为特洛伊木马分类;运行环境前缀“OpenClaw”是攻击目标和运行环境,说明为OpenClaw生态样本;“PolySkill”则是家族名称。OpenClaw是安天引擎今年添加的第一个环境前缀。同时根据讨论,后续会将ClickFix作为行为标签,添加到对应样本的后缀。与此同时,安天也在正式添加了格式命名Archive/OpenClaw.Skill,将引擎格式输出开关打开后,可以看到对应信息输出。
基于严谨的命名信息,结合计算机病毒分类命名百科的支持,便于嵌入安天引擎的产品为用户提供更精准的信息。
需要了解更多安天引擎信息可以访问安天网站查看https://www.antiy.cn/SecurityEngine.html。
8.结束语
祝龙虾给个人用户带来快乐!
祝龙虾给政企机构带来生产力!
龙虾安全,安天保障!