2026年3月,国家互联网应急中心发布了紧急风险提示,指出OpenClaw的默认安全配置“极为脆弱”,其公网暴露比例高达85%。API密钥和聊天记录等敏感信息以明文形式存储,已经发生多起安全事件。这一通报如同一声惊雷,令正在热衷于“养虾”的开发者们猛然惊醒——当AI智能体拥有系统级的最高权限时,安全问题不再是技术细节,而是决定行业生死的关键。
安全风险面面观:OpenClaw的“阿喀琉斯之踵”
国家互联网应急中心的通报直指OpenClaw的深层隐患。默认绑定0.0.0.0:18789地址并允许所有外部IP访问,远程访问无需账号认证,这意味着任何扫描到端口的攻击者都可以直接接管智能体。API密钥明文存储在配置文件中,一旦服务器被入侵,所有模型调用凭证将完全暴露。更令人担忧的是,ClawHub上超过6000个技能插件中,已检测出数百个包含恶意代码,用户可能在毫不知情的情况下安装后门程序。
攻击者利用这些漏洞的手法层出不穷。提示注入攻击是最常见的入侵方式——攻击者在网页中构造隐藏恶意指令,诱导OpenClaw读取后执行,可窃取系统密钥、删除文件甚至控制整个设备。恶意技能包则伪装成热门工具,用户安装后即可窃取聊天记录、钱包密钥等敏感信息。在已经曝光的事件中,有用户的AWS密钥被窃取,导致云账单一夜暴涨数万美元。
产业响应:从“事后补救”到“原生安全”
面对安全危机,产业界的反应迅速而果断。腾讯安全率先推出OpenClaw安全工具箱,将安全能力封装成AI Skills上架社区。其EdgeOne ClawScan工具只需一句话即可完成全面的安全体检,扫描开放端口、检测弱密码、审计已安装技能。HaS Anonymizer则是一个完全本地运行的隐私保护Skill,能智能识别并替换文本中的近7万种实体,并对身份证、人脸等21种敏感对象进行图片脱敏,真正实现“数据可用不可见”。
海光信息等国产芯片厂商从底层硬件入手,通过内置的ASP主动防御核心,在CPU层面实现安全隔离。当OpenClaw尝试访问敏感内存区域时,硬件级安全机制自动拦截并告警,从源头上防范指令诱导与设备接管。成都高新区的AI企业阿加犀则另辟蹊径,将OpenClaw全链路下沉至端侧芯片,彻底脱离云端依赖,从物理上解决了数据隐私和Token消耗的双重焦虑。
用户防护指南:五步筑牢“养虾”安全防线
对于普通用户,专家建议采取以下安全措施。一是网络隔离,将OpenClaw部署在与主力电脑隔离的云服务器或Docker容器中,设置防火墙规则仅放行必要端口。二是权限管控,严格遵循最小权限原则,对删除修改文件、发送邮件等敏感操作设置人工审批流程。三是凭证管理,避免在环境变量中明文存储API密钥,建议使用密钥管理服务或定期轮换。四是插件审查,只从ClawHub官方市场或GitHub高星项目安装技能,安装前用skill-vetter自动扫描。五是定期备份,OpenClaw的数据存储在~/.openclaw/目录下,包括workspace、credentials和sessions,建议每周备份至异地存储。
一位安全专家总结道:“OpenClaw的权限危机反映了AI智能体发展的核心矛盾:能力越强,所需的安全边界越严格。我们无法要求AI同时具备系统级权限而又不犯错误。关键在于建立容错机制和问责体系。”当安全能力与智能能力同步发展时,OpenClaw才能真正从“可用”转变为“可靠”。