OpenClaw安全风险与防护清单

OpenClaw这类本地 AI Agent 正在把“会聊天的模型”变成“会动手的程序”。安天披露的这份分析里，单个平台就发现了 1184 个恶意技能包，全球还有超过 23 万个实例因默认配置不当暴露在公网。

这不是普通的应用安全问题，而是一个会读文件、会跑命令、会连外网的自动化执行体，安全边界比传统桌面软件脆得多。你如果准备把它放进办公机、服务器，或者给它接上企业数据源，就不能只看功能列表，得先看它会把什么权限带进门。

OpenClaw到底是什么，为什么它危险

OpenClaw 是一个开源 AI 智能体，核心能力是把聊天界面、大语言模型、终端操作和第三方技能包绑在一起，让它在本地或云端自动完成文件管理、邮件处理、脚本执行、数据整理这类任务。它的价值很直接：少点手工操作，多点自动化。

问题也很直接：一旦它拿到系统权限，AI 就不再只是“回答问题”，而是可以“替你做事”。这意味着它接触到的不是一条对话，而是文件系统、凭据、浏览器会话、内部接口，甚至是整台机器的控制权。

安天的报告把这种风险总结得很清楚：OpenClaw 与主机系统深度融合，权限边界模糊，隔离机制不足，第三方扩展市场也缺少统一审核。对开发者来说，这种设计很诱人；对攻击者来说，这也是一张现成的攻击面地图。

• 2026 年 2 月，ClawHub 平台发现大规模恶意 Skills 投毒
• 单个平台检出 1184 个恶意技能包
• 恶意作者最高一次上传 677 个毒化插件
• 全球超过 23 万个实例因默认配置暴露公网
• 部分实例已出现敏感信息泄露

最危险的不是模型，而是扩展生态

OpenClaw 真正的风险中心，不是模型回答错了，而是 Skills 生态被污染。Skills 本来是给智能体“加技能”的，但在缺少审核的情况下，它也可以变成“加后门”。

安天提到的“利爪浩劫”就是典型案例：攻击者借助 ClawHub 这类低门槛平台，把伪装成工具的恶意技能包批量上架，再通过说明文档里的“安装步骤”诱导用户执行终端命令、下载未知二进制文件。用户以为自己在装插件，实际上是在给攻击者开门。

“The absence of trust boundaries between the agent, the user, and external content creates a new class of security problem.” — Zenity Labs

这句话很适合 OpenClaw：它的问题不是单点漏洞，而是信任链条太长。用户信任技能包，技能包信任脚本，脚本信任网络，AI 又把这些内容放进同一个推理上下文里，最后把“外部输入”当成了“内部指令”。

再看供应链层面，风险会继续放大。Node.js 和 npm 生态很大，依赖很多，任何一个上游包被污染，都可能在安装时静默执行恶意脚本。对 AI Agent 来说，这种风险比传统应用更麻烦，因为它的运行权限往往更高，自动化程度也更强。

和传统软件比，OpenClaw暴露面大多少

如果把传统桌面应用、浏览器插件、AI Agent 放在一起比，OpenClaw 的攻击面明显更大。传统软件通常只做一类事，AI Agent 却会同时访问文件、命令行、网页和第三方服务。

安天引用的统计里，有些数字已经很扎眼：CNNVD 在 2026 年 1 月到 3 月 9 日之间收录了 82 个 OpenClaw 漏洞，其中 12 个超危、21 个高危、47 个中危。对一个还在快速扩张的开源项目来说，这个漏洞密度并不低。

更麻烦的是，很多部署者会把它直接放到联网主机上，默认配置还没改，身份验证也没开。于是，原本应该在本机帮你干活的智能体，变成了互联网上可被扫描、可被接管的入口。

• OpenClaw 漏洞总数：82
• 超危漏洞：12
• 高危漏洞：21
• 中危漏洞：47
• 公开暴露实例：23 万+，其中数万个已发生信息泄露

这类数字说明了一个现实：AI Agent 的安全问题，不是“有没有漏洞”，而是“漏洞、权限、扩展、暴露面”同时叠加时，会不会迅速变成系统级事故。OpenClaw 就是这个问题的样本。

怎么防：先收权限，再收插件

如果你真的要部署 OpenClaw，第一步不是装更多技能，而是把权限收紧。最小权限原则在这里不是口号，而是底线。不要一上来就给管理员权限，不要让智能体默认能删文件、改配置、发外联请求。

第二步是隔离。把它放进容器、虚拟机，或者单独的运行环境里，不要让它和核心业务主机共用同一套高价值凭据。对需要高风险操作的任务，最好加人工确认，尤其是删除、外发、下载、执行脚本这几类动作。

第三步是控制扩展来源。官方渠道、可信仓库、经过审计的技能包，优先级要远高于社区转发链接和搜索引擎结果。凡是要求你下载 ZIP、执行 Shell 脚本、输入账号密码的 Skills，都要先停一下，别急着点。

安天给出的防护思路也很实用：只启用关键 Skills，关闭不必要的扩展；定期做主机漏洞扫描和补丁更新；打开全量日志审计；把可疑技能文件送去做静态检测和行为分析。对企业来说，这些动作比“买一个更大的模型”更能减少事故。

• 只启用真正需要的 Skills，别把十几个扩展全开着
• 把 OpenClaw 放进隔离环境，不直接碰核心主机
• 对 SKILL.md、安装脚本、二进制包做审计
• 对公网暴露端口做资产盘点，关掉默认开放接口
• 接入终端防护和恶意文件检测工具

工具菜单里，哪些更值得先上

安天提到的终端防护产品 安天智甲，重点是主机防护、行为管控、介质管控、邮件防护和动态备份。对 OpenClaw 这种会直接读写本地文件、调用命令行的 Agent 来说，这类主机侧防线比单纯的网络边界更有用。

另一个值得关注的是针对 Skills 的专项排查工具，以及 计算机病毒百科 这类在线分析入口。前者适合批量排查本地技能包，后者适合把可疑文件先送检，再决定要不要装进生产环境。

如果你在做企业交付，还要顺手检查这些东西：CNVD、CNNVD 和 NVDB 的漏洞公告，OpenClaw 官方安全更新，以及你自己的资产暴露面。AI Agent 的安全不是单点补丁能解决的，它更像一套持续运营的卫生习惯。

如果你想把这类 Agent 放进真实业务，我会给一个很实际的判断：先做风险分级，再决定能不能上生产。能不能联网、能不能访问本地文件、能不能执行命令，这三个问题只要有一个答得含糊，就别急着接入核心系统。

接下来半年，OpenClaw 这类本地 AI Agent 的安全讨论大概率会从“插件有没有毒”转向“谁在控制执行权”。真正该问的问题不是它能做多少事，而是你愿不愿意把多少系统权限交给它。对企业来说，最先要做的不是试新功能，而是把默认配置、扩展来源和公网暴露面全部过一遍。