近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内外多平台均提供了一键部署服务。此款智能体软件可依据自然语言对话,直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了极高的系统权限,包括但不限于执行系统命令、访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其审计与安全防护措施较为脆弱,攻击者一旦发现突破口,可轻易获取OpenClaw所在计算机的完全控制权。
一、核心风险
1.公网暴露风险。老版本OpenClaw网关默认监听0.0.0.0:18789,而非仅绑定localhost。据公开安全监测数据显示,全球暴露在公网的OpenClaw实例已超过34万。
2.“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,可能导致其在操作系统内执行恶意命令,获得系统及数据权限。
3.“幻觉与误操作”风险。由于忽视或错误理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心业务数据、密码凭证等重要信息彻底删除或外传,产生意外的数据损毁或泄露。幻觉现象在用户使用较小规模参数模型或老旧模型的情况下尤其明显。
4.功能插件(Skills)投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使得设备沦为“肉鸡”,长期被黑客控制。
5.第三方代装服务欺诈风险。近期,在互联网社交媒体平台中,涌现大量收费代装OpenClaw服务。不可信的第三方操作个人设备,可能引入暗藏恶意程序植入、API密钥窃取等风险。用户付费请人“开门”,请进来的却可能是窃贼,导致系统从最初就被植入后门。
6.安全漏洞风险。截至目前,OpenClaw已经公开披露多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(如照片、文档、聊天记录)、账号密码、支付账户、API密钥等敏感信息遭窃取。对于单位用户,可导致核心业务数据、服务器凭证、师生个人信息和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。
7.大语言模型(LLM)API服务提供商风险。用户与OpenClaw交互中产生的所有数据、对话、工具调用请求与结果,均经过大语言模型API服务商的接收、处理与响应。因此,大语言模型API服务商能够查看OpenClaw执行过程中读取的所有个人敏感信息、账号密码与凭证,甚至构造工具调用请求,在用户设备上执行恶意命令。
8.模型用量风险。OpenClaw在执行任务时需要频繁调用大语言模型API接口,一次对话可能占用上万token,其特有的心跳机制更会在用户无操作的情况下自动发送请求消耗模型用量。若用户使用商业收费大模型,没有特别注意用量信息,可能会收到“天价账单”。
二、安全建议
1.谨慎部署安装,不建议在个人主要工作设备中安装OpenClaw。
2.加强安全意识,避免点击任何声称“优化OpenClaw”“领取高级技能”的不明链接。
3.强化网络控制,不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理控制。
4.对运行环境进行严格隔离,如使用容器、虚拟机等技术限制OpenClaw访问数据范围与权限。
5.使用可信任的大模型API服务提供商,避免使用来源不明、不可靠第三方提供的大模型API服务或API转发服务。
6.加强凭证管理,避免在对话或提示词中输入密码、私钥、API令牌等敏感信息,避免在环境变量中明文存储密钥;建立完整的操作日志审计机制。
7.严格管理插件来源,禁用插件自动更新,仅从可信渠道安装经过验证的外部插件。
8.持续关注补丁和安全更新,及时进行版本更新和安装安全补丁。