别盲目跟风“养龙虾”！OpenClaw爆火背后，这些致命安全风险必须警惕

2026年开年，开源AI智能体OpenClaw（俗称“AI龙虾”）彻底火出了圈。短短数月GitHub星标突破26万，赶超Linux、React等老牌明星项目，一键部署教程刷屏各大技术社区，不少开发者、普通用户都忙着搭建自己的AI智能体，体验自然语言操控电脑的便捷。

但在全民“养虾”的狂欢背后，国家网信部门、工信部、国家互联网应急中心接连发布安全预警，大量公网暴露的OpenClaw实例被黑客盯上，提示词注入、权限失控、插件投毒等安全事件频发。这款主打“自主执行任务”的AI工具，因为默认配置重功能、轻安全，正在成为数据泄露、系统被接管的重灾区。

作为开发者，不管是个人尝鲜还是团队试水，都不能只看效率忽略风险。这篇文章就结合最新安全情报，深度拆解OpenClaw核心安全隐患，同时给出可直接落地的防护方案，帮你安全使用这款热门工具。

一、OpenClaw为什么天生自带安全隐患？

OpenClaw的核心定位是AI执行层，区别于普通聊天AI，它能直接操控本地文件、执行系统命令、调用API、安装扩展插件，相当于给AI装上了“双手”。想要实现这些功能，就必须获取较高的系统权限，再加上项目迭代速度极快，安全架构没有同步完善，直接埋下了三大先天隐患：

• 默认高权限运行：本地部署默认获取文件全盘读写、系统命令执行、环境变量读取权限，部分云服务器一键部署直接用root/管理员账户启动，没有任何权限隔离
• 公网暴露无防护：默认0.0.0.0:18789端口，不做身份认证、IP限制，大量用户直接部署后公网可访问，黑客可批量扫描入侵
• 生态审核缺失：官方技能市场ClawHub插件无需严格安全审计，第三方插件可随意上传，恶意代码极易伪装成实用工具传播

工信部网络安全威胁和漏洞信息共享平台明确警示：OpenClaw默认或不当配置下，极易引发远程控制、数据窃取、系统破坏等严重安全问题，个人及企业用户需高度重视。

二、四大致命安全风险，每一个都能让设备“失守”

1. 提示词注入攻击：最常见，防不胜防

这是OpenClaw最易被利用的攻击方式，也是目前爆发最多的安全问题。攻击者会在网页、文档、图片备注中嵌入隐藏恶意指令，当OpenClaw读取这些内容时，会被诱导绕过安全限制，执行非用户授权的操作。

常见攻击场景：

• 诱导AI读取本地配置文件，窃取API Key、数据库密码、登录凭证
• 操控AI删除系统文件、格式化磁盘，破坏本地数据
• 控制AI自动发送邮件、转发文件，泄露私密文档和商业机密

这类攻击无需用户额外操作，只要AI主动浏览恶意网页、解析带毒文档，就会直接中招，普通用户几乎很难察觉。

2. 权限失控与越权执行：最致命，直接接管设备

OpenClaw的核心能力依赖高权限，而默认配置完全没有做权限收敛，相当于把设备的“最高控制权”直接交给了AI。一旦AI被劫持、出现幻觉，或者配置被篡改，攻击者就能获得设备的完整控制权。

高危风险点：

• 默认无沙箱隔离，AI可随意访问全盘文件，包括私密照片、代码仓库、财务报表
• 支持执行系统命令，黑客可通过AI植入木马、挖旷程序，将设备变成“肉鸡”
• 环境变量、配置文件明文存储密钥，无加密保护，极易被窃取

3. 技能插件投毒：供应链攻击，隐蔽性极强

OpenClaw的扩展能力靠Skills（技能插件）实现，官方市场插件数量庞大，涵盖办公、开发、自动化等多个场景，但几乎无安全校验。黑客会将恶意代码伪装成“文件清理”“代码助手”“数据同步”等热门插件，诱导用户安装。

这类攻击属于典型的供应链攻击，一旦安装恶意插件，后果不堪设想：

• 静默窃取本地所有敏感数据，上传至黑客服务器
• 开启远程后门，支持黑客实时操控设备
• 篡改系统配置，破坏设备正常运行，且难以清理

此前安全团队已监测到，ClawHub市场上有超10%的第三方插件暗藏恶意代码，大量尝鲜用户因此受害。

4. 高危漏洞频发：官方已披露，不更新必中招

截至2026年3月，OpenClaw已公开多个高中危漏洞，包括远程代码执行、认证绕过、信息泄露等，部分漏洞可被一键利用，无需专业黑客工具：

• CVE-2026-25253：核心网关远程代码执行漏洞，公网暴露实例可被直接入侵，窃取所有凭证
• Clawjacked漏洞：诱导访问恶意网页，即可远程完全控制本地OpenClaw实例
• 配置文件权限漏洞：.openclaw目录下密钥、Token明文存储，普通用户即可读取

三、个人/团队安全使用OpenClaw，必做这几步

风险虽多，但只要做好安全配置，就能大幅降低隐患。以下是适配个人用户和小型团队的极简防护方案，操作简单，直接照搬即可：

1. 网络配置：彻底关闭公网暴露，收紧访问权限

这是最关键的一步，绝对不要将OpenClaw端口暴露在公网，修改默认配置如下：

# 错误配置（全网可访问）
GATEWAY_HOST=0.0.0.0
GATEWAY_PORT=18789

# 安全配置（仅本地访问）
GATEWAY_HOST=127.0.0.1
GATEWAY_PORT=自定义端口（避开18789）

• 服务器部署：开启防火墙，仅允许内网IP访问，禁用公网端口映射
• 本地使用：无需开启任何端口转发，仅本机访问即可

2. 权限控制：遵循最小权限原则，拒绝高权限运行

# 禁止root/管理员直接运行
# 创建专用低权限用户，仅开放必要目录权限
sudo useradd -r -s /bin/false openclaw_user
sudo chown -R openclaw_user:openclaw_user /opt/openclaw
sudo -u openclaw_user openclaw start

• 禁用AI文件删除、系统命令执行等高风险操作
• 限制AI仅访问指定工作目录，禁止全盘扫描
• 敏感操作开启人工二次确认，避免AI自动执行

3. 插件安全：只装可信插件，拒绝第三方未知来源

• 仅安装官方认证、下载量高、评分优的插件，避开小众冷门插件
• 安装前查看插件权限申请，拒绝要求全盘访问、远程连接的可疑插件
• 关闭插件自动更新，手动更新前核查更新内容

4. 数据防护：加密敏感信息，做好日志审计

• API密钥、密码等敏感信息，不要明文写入配置文件，改用加密 vault 存储
• 定期清理操作日志，日志中脱敏敏感数据
• 及时更新OpenClaw至最新版本，修复已知漏洞

四、写在最后：AI工具，安全先行

OpenClaw作为AI智能体的标杆产品，确实能大幅提升工作效率，解放双手，但开源不等于安全，便捷不等于无底线。不管是个人用户还是企业开发者，都不能盲目跟风尝鲜，忽略最核心的安全问题。

对于个人用户，建议先在本地虚拟机、隔离环境中尝鲜，不要直接在主力设备部署；对于企业团队，务必搭建专属沙箱环境，做好权限管控和行为审计，避免核心数据泄露。

技术的价值在于赋能，而安全是技术落地的底线。别让便捷的AI工具，变成数据安全的“漏洞”。

后续我会持续更新OpenClaw安全漏洞动态和防护优化方案，欢迎关注+收藏，避免踩坑！

本文参考：工信部网络安全威胁和漏洞信息共享平台、国家互联网应急中心风险提示、OpenClaw官方安全公告、安全厂商漏洞报告

#OpenClaw #AI安全 #开发者避坑 #AI智能体 #网络安全

大家怎么看呢，各位大佬一起讨论下