OpenClaw(龙虾)安全与合规风险深度报告:258个漏洞、1,184个恶意插件与六大监管机构密集围堵
2026年3月深度预警 | 影响所有使用OpenClaw的企业、开发者和个人用户
一、事件概要:一款"全能AI执行者"如何成为"安全噩梦"
1.1 事件背景
- 涉及产品: OpenClaw(龙虾),开源AI智能体框架
- 产品性质: 基于大语言模型的自主AI智能体(Agentic AI),具备系统级自动化执行能力,可操控文件系统、命令行、网络访问、浏览器自动化、应用集成、进程管理等
- 首次发布: 2025年末(曾用名Clawdbot、Moltbot)
- 安全事件集中爆发期: 🔴 2026年1月-3月
- 事件性质: 信息安全/AI合规/数据隐私/供应链安全
- 累计披露漏洞: 258个(截至2026年3月),其中超危(CVSS ≥ 9.0)12个、高危约70个[ZeroLeaks]
- 最大供应链攻击: ClawHavoc事件——1,184个恶意技能包污染ClawHub官方插件市场[安天 CERT]
- 互联网暴露规模: 全球超20万个实例暴露于互联网,中国境内约2.3万个活跃资产[国家网络安全通报中心]
- 监管响应: 两周内六大国家级机构密集发出警告,国有银行、政府部门相继收到禁用令[彭博社]
- 综合安全评分: 2/100(ZeroLeaks评定为"高度不安全")[ZeroLeaks]
- 事件影响: 全球范围内使用OpenClaw的企业、开发者和个人用户面临数据泄露、系统被控、金融欺诈、监管处罚等重大安全与合规风险
OpenClaw——因其标志性的红色龙虾图标被中国用户亲切称为"龙虾"——是一款在2025年末至2026年初迅速走红的开源AI智能体框架。它代表了AI应用范式的重大跃迁:不是聊天机器人,而是一个具备持久记忆、工具调用、跨平台执行能力的自主智能代理。其架构核心为"大模型大脑 + Pi引擎执行层 + 多渠道接入层 + 插件生态"四层结构,可调用Anthropic Claude、OpenAI GPT、阿里通义等大模型,通过Telegram、飞书、钉钉、企业微信等IM工具接收指令[CNCERT]。
然而,强大的系统控制能力与粗放的安全设计形成了致命矛盾。OpenClaw默认以本机用户权限运行,可直接操控文件读写/删除、执行任意Shell命令、发起网络请求、自动化浏览器操作、读写邮件和数据库——任何针对OpenClaw的攻击,等同于直接获得对受害主机的完全控制权[CNCERT]。GitHub星标数一度突破26万,2026年1月下旬起来自中国IP的下载量急剧攀升,腾讯云、阿里云、华为云相继上线"一键部署",进一步降低使用门槛[国家网络安全通报中心]。
1.2 关键安全公告与条款解读
【公告1:国家网络安全通报中心安全风险预警(2026-03-13)】
原文(中文): "全球活跃OpenClaw互联网资产已超20万个,中国境内活跃资产约2.3万个,主要集中于北京、上海、广东、浙江、四川、江苏等互联网资源密集地区,85%暴露于公网。"
来源:国家网络安全通报中心
解读:
- 适用对象: 所有在中国境内部署OpenClaw的企业、机构和个人用户
- 具体要求: 立即盘点OpenClaw暴露面,关闭公网访问,启用身份认证
- 合规路径: 参照等保2.0要求将OpenClaw纳入资产管理和安全防护体系
【公告2:CNCERT《关于OpenClaw安全应用的风险提示》(2026-03-10)】
原文(中文): "OpenClaw默认安全配置极为脆弱,一旦被突破可获取系统完全控制权。建议政府机关、事业单位及国有企业禁止在涉密信息系统和核心业务系统中部署OpenClaw。"
解读:
- 适用对象: 政府机关、事业单位、国有企业(已明确禁止在核心系统中使用)
- 具体要求: 核心业务系统全面禁用;非涉密系统如需使用,必须部署在隔离环境中
- 合规路径: 按照等保2.0要求,将OpenClaw纳入第三方组件安全管理范畴
【公告3:工信部NVDB"六要六不要"操作指引(2026-03-11)】
原文(中文): "要通过官方可信渠道下载安装并及时升级;要启用高强度密码及多因素身份认证;要限制执行权限,遵循最小权限原则;不要在公网环境中暴露管理端口;不要将OpenClaw直接接入企业核心生产系统或政务网络;不要赋予管理员权限。"
来源:工信部NVDB
解读:
- 适用对象: 党政机关、企事业单位和个人用户(差异化操作规范)
- 具体要求: 遵循六要六不要基本安全规范
- 合规路径: 建立OpenClaw安全使用制度,以"六要六不要"为最低合规基线
【公告4:国家工业信息安全发展研究中心工业领域预警(2026-03-12)】
原文(中文): "工业领域OpenClaw应用存在生产失控风险、工业知识产权泄露风险、横向渗透与攻击面扩展风险三大核心安全风险。原则上禁止向OpenClaw提供系统级权限。"
解读:
- 适用对象: 工业与制造业企业,尤其是OT/ICS环境相关
- 具体要求: 工业控制系统环境严禁部署OpenClaw,IT环境需严格隔离
- 合规路径: 对照《工业控制系统信息安全防护指南》执行防护
二、时间线:从爆发到六大机构密集围堵
| 时间节点 | 事项 | 要求 | 状态 |
|---|---|---|---|
| 2025-11 | OpenClaw(Clawdbot)在GitHub开源发布 | 了解产品功能和风险 | ✅ 已过 |
| 2025-12 | 安全研究人员首次公开披露提示词注入漏洞 | 评估企业内部使用情况 | ✅ 已过 |
| 🔴 2026-01-15 | CVE-2026-25253(CVSS 8.8)远程代码执行漏洞披露 | 立即更新至v2026.1.29+版本 | ✅ 已过 |
| 🔴 2026-01-28 | ClawHavoc供应链攻击被发现:1,184个恶意技能包 | 排查已安装的第三方插件 | ✅ 已过 |
| 🔴 2026-02-05 | 工信部发布首份关于OpenClaw安全风险的官方说明 | 关注安全风险,评估配置 | ✅ 已过 |
| 2026-02-14 | CVE-2026-26322(SSRF,CVSS 7.6)修复 | 更新至v2026.2.14 | ✅ 已过 |
| 🔴 2026-03-08 | 工信部NVDB发布OpenClaw安全风险预警 | 关闭公网暴露,强化认证 | ⏳ 执行中 |
| 🔴 2026-03-10 | CNCERT发布《关于OpenClaw安全应用的风险提示》 | 政府/国企核心系统禁用 | ⏳ 执行中 |
| 🔴 2026-03-11 | 工信部NVDB发布"六要六不要"操作指引 | 按指引全面自查和整改 | ⏳ 执行中 |
| 🔴 2026-03-11 | 彭博社报道:国有银行、国企、政府机关收到禁用令 | 已安装者须申报并接受安全检查 | ⏳ 执行中 |
| 🔴 2026-03-12 | 国家工业信息安全发展研究中心发布工业领域预警 | OT环境禁止部署,IT环境严格隔离 | ⏳ 执行中 |
| 🔴 2026-03-12 | 中国AI产业发展联盟发布安全风险提示 | 关注风险动态 | ⏳ 执行中 |
| 🔴 2026-03-13 | 国家网络安全通报中心预警:境内2.3万个资产,85%暴露公网 | 盘点暴露面,关闭公网访问 | ⏳ 执行中 |
| 🔴 2026-03-15 | 中国互联网金融协会发布专项风险提示 | 金融终端禁止输入敏感信息 | ⏳ 执行中 |
| 🔴 2026-03-16 | 中国信通院公布LLM驱动型命令注入高危漏洞 | 关注并跟踪修复进展 | ⏳ 执行中 |
| 🔴 2026-06-01 | 预计AI智能体专项安全监管法规出台 | 全面对标合规要求 | 📅 待办 |
⚠️ 关键警告:2026年3月8日至3月16日 - 不到两周内六大国家级机构密集发出警告,这一前所未有的监管力度表明OpenClaw已被定性为当前AI安全治理的优先议题。未完成整改的单位随时可能面临通报、约谈或处罚。
三、影响评估:谁在用?谁受伤?风险有多大?
3.1 按使用场景分类影响
| 使用场景 | 技术风险 | 合规风险 | 综合风险 | 建议 |
|---|---|---|---|---|
| 政府机关/党政部门 | 🔴 极高 | 🔴 极高 | 🔴 极高 | 禁止使用[彭博社] |
| 国有企业办公网络 | 🔴 极高 | 🔴 极高 | 🔴 极高 | 禁止使用[彭博社] |
| 金融机构(核心业务) | 🔴 极高 | 🔴 极高 | 🔴 极高 | 禁止使用[中国互联网金融协会] |
| 工业OT接入环境 | 🔴 极高 | 🔴 极高 | 🔴 极高 | 禁止使用[国家工业信息安全发展研究中心] |
| 医疗(涉患者数据) | 🟠 高 | 🔴 极高 | 🔴 极高 | 禁止使用[Onyx AI] |
| 私营企业核心系统 | 🟠 高 | 🟠 高 | 🔴 极高 | 需安全加固后方可考虑[工信部NVDB] |
| 中小企业内部协作 | 🟠 高 | 🟡 中 | 🟠 高 | 安全加固+合规评估[工信部NVDB] |
| 开发测试(隔离环境) | 🟡 中 | 🟡 中 | 🟡 中 | 沙箱隔离+定期审计 |
| 个人非敏感使用 | 🟡 中 | 🟢 低 | 🟡 中 | 基础安全配置[工信部NVDB] |
3.2 按行业分类影响
| 行业 | 影响程度 | 具体影响 | 合规紧迫度 |
|---|---|---|---|
| 金融/银行 | 🔴 极高 | 交易操控风险、客户金融信息泄露、反洗钱合规风险;中国互联网金融协会明确禁止在金融终端输入敏感信息,多家国有大行内部发文禁用 | 已有监管机构明确禁止[中国互联网金融协会] |
| 政府/行政 | 🔴 极高 | 国家秘密泄露、政务数据出境、APT攻击中转风险;中央政府已划定红线,国有企业和政府机关不得在办公设备上安装 | 禁令已落地,须立即执行[彭博社] |
| 工业/制造 | 🔴 极高 | 生产失控风险(可能导致设备损毁、生产事故)、工业知识产权泄露、IT/OT边界横向渗透 | 国家工业信息安全发展研究中心明确预警[国家工业信息安全发展研究中心] |
| 医疗/健康 | 🟠 高 | 患者隐私数据泄露(健康信息属于敏感个人信息),违反PIPL和HIPAA | 禁止在涉患者数据系统中使用[Onyx AI] |
| 科技/互联网 | 🟠 高 | 源代码泄露、技术专利暴露、API密钥被盗(已有程序员收到1.2万元账单) | 限制使用范围,加强审计[安天 CERT] |
| 中小企业 | 🟠 高 | 风险防控能力最薄弱的群体,缺乏专业安全团队,47%员工通过未管控账号使用AI工具 | 优先选择国产替代方案[Bitdefender, Netskope] |
3.3 按威胁类型分类的风险全景
1. 远程代码执行(RCE)—— 最高危
CVE-2026-25253是迄今最危险的OpenClaw漏洞(CVSS 8.8),攻击者可通过恶意链接劫持WebSocket认证令牌,一键实现远程代码执行。即使OpenClaw仅监听127.0.0.1,浏览器作为中间人仍可桥接攻击。SecurityScorecard扫描发现超过135,000个实例暴露于互联网且未修复此漏洞;Hunt.io识别超过17,500个直接可利用实例[SecurityScorecard, Hunt.io]。
2. 恶意插件与供应链攻击 —— 最具破坏力
ClawHavoc事件是迄今规模最大的AI软件生态供应链污染事件:1,184个恶意技能包、12个关联账号,macOS平台分发Atomic Stealer窃取SSH密钥和加密货币钱包,Windows平台分发键盘记录器和反弹Shell后门。Bitdefender遥测显示,ClawHub约**20%**的技能包含有恶意代码或严重隐患[安天 CERT, Bitdefender]。
3. 提示词注入(Prompt Injection)—— 最隐蔽
攻击者可在网页、邮件或文档中嵌入恶意指令,ZeroLeaks测试显示:系统提示词提取成功率84%、恶意指令注入成功率91%。结合OpenClaw的持久记忆机制,可实施"延迟攻击"——在普通会话中植入恶意"记忆",此后每次执行相关任务时持续、静默地执行攻击者预设行为[ZeroLeaks, 中国信通院]。
4. 默认不安全配置 —— 最普遍
OpenClaw默认安装:管理端口无需认证即可访问、API密钥和凭证明文存储、无操作审计机制、以启动用户全部权限运行。中国境内85%的OpenClaw资产暴露于公网[国家网络安全通报中心, CNCERT]。
5. 影子AI威胁 —— 最隐蔽的组织风险
Netskope报告显示47%的员工通过个人未管控账号使用AI工具,典型企业运行约1,200个未授权AI应用,影子AI导致每次数据泄露额外增加平均670,000美元损失,传统DLP工具检测率为0%。与传统影子AI相比,OpenClaw因其系统级权限,危害呈量级放大[Netskope, Bitdefender]。
四、合规要求:中国"三法一规"框架下的红线与自查清单
关键法律逻辑
"AI自己做的"在法律上不构成免责理由。 OpenClaw产生的所有后果——无论是数据泄露、误操作损失,还是合规违规——均由部署方、权限配置人和账号持有人承担全部法律责任[国枫律师事务所]。
合规检查清单
✅ 第一步:资产盘点与风险评估(截止日期:立即)
- ☐ 清查企业内所有OpenClaw/Clawdbot/Moltbot安装实例(包括个人设备上的"影子IT")
- ☐ 确认每个实例的部署位置、开放端口、运行账号、版本号
- ☐ 检查是否已更新至最新版本(当前建议版本:2026.2.14及以上)
- ☐ 梳理所有已安装的第三方插件(Skills)来源,比对ClawHavoc恶意包清单
- ☐ 评估每个实例可访问的数据范围和权限级别
- ☐ 编制企业OpenClaw安全风险评估报告
✅ 第二步:紧急安全收口(截止日期:24-48小时内)
- ☐ 关闭所有OpenClaw管理端口的公网访问(防火墙规则:仅允许内网/VPN访问)
- ☐ 强制启用身份认证(最低要求:强密码+访问令牌)
- ☐ 立即吊销并重置所有通过OpenClaw配置或使用的凭证(API Key、密码、Token)——假设所有已配置凭证已泄露
- ☐ 移除所有未经审查的第三方插件(Skills)
- ☐ 政府机关、国企核心系统立即禁用并卸载
✅ 第三步:合规评估(截止日期:1周内)
- ☐ 评估现有部署是否处理个人信息或重要数据
- ☐ 如有,立即暂停相关功能,开展数据安全影响评估(DPIA)
- ☐ 确认使用云端大模型API时是否涉及数据跨境传输(PIPL第38-40条)
- ☐ 对照《网络安全法》等保要求评估合规性
- ☐ 对照《数据安全法》数据分类分级要求评估合规性
- ☐ 向法务/合规团队确认当前使用场景是否触发监管申报义务
✅ 第四步:技术加固与隔离部署(截止日期:2周内)
- ☐ 将OpenClaw部署在Docker容器或VM等隔离环境中,以非root专用账号运行
- ☐ 实施最小权限原则,建立工具白名单和高危命令黑名单
- ☐ 对文件删除、数据外发、系统配置修改等关键操作设置人工审批流(Human-in-the-Loop)
- ☐ 配置网络防火墙规则,限制出站流量(仅允许白名单域名/IP)
- ☐ API密钥使用密钥管理服务(KMS)存储,禁止明文配置
- ☐ 禁用ClawHub公开市场,仅允许内部审核的插件
✅ 第五步:审计监控与制度建设(截止日期:1个月内)
- ☐ 启用详细操作日志(工具调用、文件访问、外联请求),留存≥6个月(等保要求)
- ☐ 对接企业SIEM系统,配置异常行为告警
- ☐ 制定《AI智能体工具安全使用管理制度》,明确使用范围、审批流程和责任划分
- ☐ 将OpenClaw纳入企业第三方软件管理清单
- ☐ 开展全员安全培训,重点覆盖"六要六不要"规范
- ☐ 建立AI工具使用审批制度,禁止未经IT审批的影子AI安装
法律后果一览
| 违规行为 | 适用法规 | 法律后果 | 处罚金额 |
|---|---|---|---|
| 因OpenClaw漏洞导致个人信息泄露,未履行安全保障义务 | 《个人信息保护法》第66条 | 责令改正、没收违法所得、罚款;情节严重的暂停或终止服务 | 最高5,000万元或上一年度营业额5% |
| 因OpenClaw部署导致网络安全事件,未建立安全管理制度 | 《网络安全法》第59条 | 责令改正、警告、罚款;对直接负责人处罚 | 最高100万元,负责人最高10万元 |
| 在涉密系统中违规使用OpenClaw导致数据泄露 | 《数据安全法》第45条 | 责令改正、罚款;造成大量数据泄露的从重处罚 | 最高1,000万元;情节特别严重吊销营业执照 |
| 金融机构在核心系统中使用OpenClaw | 《银行保险机构数据安全管理办法》 | 监管处罚、责令整改 | 根据损失金额评估 |
| 在关键信息基础设施中使用未通过安全审查的AI工具 | 《关键信息基础设施安全保护条例》 | 行政处罚,拒不改正加重 | 最高100万元 |
| GDPR违规(出海欧洲的企业) | GDPR | 二类违规最高罚款 | 全球年营业额4%或2,000万欧元 |
| HIPAA违规(出海美国的医疗企业) | HIPAA | 蓄意疏失违规 | 每项违规最高219万美元 |
所需材料清单
| 材料名称 | 用途 | 获取方式 | 优先级 |
|---|---|---|---|
| OpenClaw资产清单(含影子IT) | 全面掌握使用现状 | IT部门资产扫描+员工自查申报 | P0 |
| CVE漏洞检查报告 | 确认漏洞修复状态 | 运维团队运行漏洞扫描工具 | P0 |
| 第三方插件安全审查记录 | 排除恶意/高风险插件 | 安全团队比对ClawHavoc清单 | P0 |
| 凭证轮换记录 | 确认泄露凭证已更换 | DevOps团队执行并记录 | P0 |
| 数据安全影响评估报告(DPIA) | 合规留痕 | 法务+安全团队联合编制 | P1 |
| 网络隔离部署方案 | 隔离部署架构设计 | 基础设施团队设计 | P1 |
| AI工具使用管理制度 | 制度化管理 | 法务+信息安全团队起草 | P1 |
| 安全培训材料 | 提升全员安全意识 | 信息安全团队编制 | P2 |
五、实操指南:从"裸奔"到"合规"的分级方案
5.1 紧急处置流程(预计耗时:3天)
Step 1:紧急资产发现(Day 1,4小时)
- 在企业网络内运行端口扫描,识别所有运行OpenClaw服务的主机(默认端口通常为3000/5678等)
# 使用nmap扫描内网常见OpenClaw端口
nmap -sV -p 3000,5678,8080,8443 192.168.0.0/16
- 在终端设备管理系统中搜索OpenClaw进程或安装目录
# macOS/Linux 检查是否有OpenClaw进程
ps aux | grep -i openclaw
# 检查常见安装路径
find / -name "openclaw*" -o -name ".openclaw" 2>/dev/null
- 向全体员工发送自查通知,要求48小时内申报个人设备上的OpenClaw安装情况
Step 2:紧急加固(Day 1-2,8小时)
- 立即更新所有实例至最新版本(确认CVE-2026-25253、CVE-2026-26322等已修复)
- 关闭公网绑定,修改监听地址为127.0.0.1,启用Token认证
- 移除所有未经审核的第三方插件
- 全量轮换所有通过OpenClaw配置的凭证——假设均已泄露
Step 3:隔离部署(Day 2-3,16小时)
- 创建专用容器环境,以非root用户运行,仅挂载必要工作目录
- 配置网络策略,限制出站请求仅允许内网和白名单域名
- 对所有关键操作(文件删除、外联请求、系统命令执行、凭证访问)启用人工审批
5.2 合规部署分级方案
| 方案 | 适用场景 | 核心要求 |
|---|---|---|
| 方案A:完全隔离试验场 | 技术验证、研发测试 | 物理隔离测试环境,脱敏测试数据,专人安全监控 |
| 方案B:安全加固私有部署 | 非敏感数据日常办公 | Docker/VM隔离,本地大模型(Ollama)避免数据外传,完整审计日志[工信部NVDB] |
| 方案C:企业级合规部署 | 处理个人信息或重要数据 | 方案B基础上:完成DPIA、签署DPA、接入企业IAM/PAM、数据分级访问控制、定期渗透测试 |
| 方案D:重要数据/特殊行业 | 金融、医疗、政务、工业 | 不使用原生OpenClaw,转向企业级安全加固版或国产替代方案[国家工业信息安全发展研究中心, 中国互联网金融协会] |
5.3 国产替代方案
随着监管趋严,国产AI智能体替代方案快速涌现[中国AI产业发展联盟]:
| 方案 | 特点 | 适用场景 |
|---|---|---|
| 有道 LobsterAI | 100%开源,兼容OpenClaw 5000+技能 | 需要兼容性的企业 |
| 当贝 Molili | 中文版替代,3分钟一键部署,支持微信/钉钉 | 中小企业 |
| Copaw / CountBot / HiClaw / EasyClaw | 纯国产方案,无OpenClaw内核依赖 | 合规要求严格的企业 |
| 企业级安全加固版(神州数码等) | 在原生代码基础上安全加固,提供等保合规配置 | 大型企业 |
5.4 官方联系方式与举报渠道
| 机构 | 联系方式 | 用途 | 响应时效 |
|---|---|---|---|
| CNCERT/国家互联网应急中心 | https://www.cert.org.cn/ | 安全事件报告、漏洞通报 | 24小时响应 |
| 工信部网络安全管理局 | https://www.miit.gov.cn/ | 合规政策咨询 | 工作日响应 |
| 国家网络安全通报中心 | https://www.cert.org.cn/ | 安全风险预警 | 24小时响应 |
| 中国互联网金融协会 | https://www.nifa.org.cn/ | 金融行业风险提示 | 工作日响应 |
| 中国网络安全审查办公室 | https://www.cac.gov.cn/ | 数据安全审查相关 | 按流程处理 |
5.5 专业安全服务推荐
| 服务类型 | 推荐机构 | 服务内容 | 费用参考 |
|---|---|---|---|
| AI安全评估 | Trend Micro / CrowdStrike | AI Agent安全风险全面评估、渗透测试 | ¥50,000-200,000/次 |
| 合规咨询 | Deloitte / PwC / KPMG | 网络安全合规咨询、等保2.0评估 | ¥80,000-300,000/项 |
| 安全加固 | 阿里云安全 / 腾讯安全 | OpenClaw安全加固方案、持续监控 | ¥20,000-100,000/年 |
| 应急响应 | 奇安信 / 安恒信息 | 安全事件应急响应、取证分析 | ¥30,000-150,000/次 |
| 开源审计 | 源堡科技 / 悬镜安全 | 开源组件安全审计、SCA扫描 | ¥10,000-50,000/次 |
六、风险提示:不合规的代价有多大?
6.1 核心结论
结论一:OpenClaw的安全风险是结构性的,而非补丁可修复的。 高系统权限、默认无认证、无日志、弱沙箱,这些是OpenClaw快速普及的特性,同时也是其安全的根本缺陷。综合安全评分仅2/100,CLAW-10企业成熟度评分1.2/5.0,在身份认证、访问控制、数据隔离等所有维度均不及格[ZeroLeaks, Onyx AI]。
结论二:中国合规风险是企业面临的最紧迫压力。 两周内六度出手的监管密集度表明:对国有企业、金融机构、政府机关而言,合规风险不是"可能发生",而是"正在发生"——禁令已落地,违规使用随时可能被发现和处罚[国家网络安全通报中心, 彭博社]。
结论三:影子AI是企业安全体系最难应对的新威胁。 传统DLP工具对此类泄露检测率为0%,必须建立对影子AI的发现、管控和治理能力[Netskope]。
6.2 真实案例
案例1:ClawHavoc供应链攻击——1,184个恶意技能包批量投毒
- 时间: 2026年2月
- 攻击者: 12个关联账号(单一账号负责677个恶意包)
- 经过: 攻击者将恶意技能包伪装为"Google搜索"、"文件管理"等合法工具混入ClawHub官方市场。macOS平台分发Atomic Stealer窃取SSH密钥和加密货币钱包,Windows平台分发键盘记录器和反弹Shell后门。2.9%的ClawHub技能存在动态拉取外部恶意载荷行为
- 后果: 程序员API密钥被盗,收到高达1.2万元的模型调用费用账单;企业内网文件通过恶意插件外泄;系统账号凭证批量被窃
- 教训: ① 开源插件生态的供应链安全是系统性风险;② 企业需建立插件安全审查白名单;③ 关键凭证应存放于KMS而非环境变量
- 来源: [安天 CERT] [Bitdefender]
案例2:CVE-2026-25253——一键远程代码执行,13.5万实例受影响
- 时间: 2026年1月15日披露
- 漏洞: WebSocket连接未验证来源域名,攻击者构造恶意链接即可劫持认证令牌,实现远程代码执行(CVSS 8.8)
- 经过: 受害者仅需点击一个链接,攻击者即可获得OpenClaw完全控制权。即使仅监听localhost,浏览器作为中间人仍可桥接攻击(WebSocket天然绕过CORS)
- 后果: SecurityScorecard扫描发现135,000+个暴露且未修复的实例;Hunt.io识别17,500+个直接可利用实例;已在v2026.1.29中修复,但大量存量部署未及时升级
- 教训: ① "仅监听本机"不等于安全;② 漏洞修复后的升级速度是关键;③ 面向互联网的AI Agent需要比传统应用更严格的安全基线
- 来源: [SecurityScorecard] [Hunt.io]
案例3:Cline npm包静默安装OpenClaw——二阶供应链攻击
- 时间: 2026年初
- 经过: 流行开发工具Cline的一个受攻击npm发布版本中,通过
post-install钩子静默安装OpenClaw。企业可能在完全不知情的情况下,通过正常的软件依赖引入了OpenClaw及其全部攻击面 - 后果: 特别影响工业企业——研发工程师日常使用的开发工具可能暗中引入了OpenClaw
- 教训: ① 软件供应链安全需要纵深防御;② 企业须对所有npm/pip等包管理器的安装行为进行监控;③ OpenClaw的风险可能通过你意想不到的路径进入企业
- 来源: [Endor Labs]
案例4:地方政策"拥抱AI"与中央"管制"的张力
- 时间: 2026年3月
- 经过: 中央层面密集收紧管制的同时,深圳龙岗区宣布建设"龙虾服务区"提供免费部署服务,无锡高新区出台支持企业应用OpenClaw的扶持政策,杭州本土企业发布国内首个中文版OpenClaw平替工具
- 后果: 中央管制与地方激励的张力折射出"拥抱AI经济红利"与"防范安全合规风险"的深层结构性博弈
- 教训: 企业在做决策时必须同时跟踪中央和地方两条监管主线,不能因地方激励政策而忽视中央层面的合规红线
- 来源: [中国AI产业发展联盟]
📌 参考来源
本文基于以下 21个权威来源 深度分析:
Tier 1 官方/顶级媒体/安全机构(16个):
- 国家网络安全通报中心 - OpenClaw安全风险预警,披露境内2.3万个资产数据(2026-03-13)
- 工业和信息化部NVDB - OpenClaw安全风险预警 + "六要六不要"操作指引(2026-03-08/11)
- CNCERT/国家互联网应急中心 - 《关于OpenClaw安全应用的风险提示》(2026-03-10)
- 工业和信息化部 - 首份OpenClaw安全风险官方说明(2026-02-05)
- 国家工业信息安全发展研究中心 - 《工业领域OpenClaw应用的风险预警通报》(2026-03-12)
- 中国人工智能产业发展联盟(AIIA) - 防范安全风险提示(2026-03-12)
- 中国互联网金融协会 - 互联网金融行业专项风险提示(2026-03-15)
- 中国信息通信研究院 - LLM驱动型命令注入高危漏洞研究(2026-03-16)
- SecurityScorecard - OpenClaw互联网暴露资产扫描,发现135,000+暴露实例(2026-03)
- Hunt.io - OpenClaw可利用实例识别,17,500+直接可利用(2026-03)
- ZeroLeaks - OpenClaw综合安全评估(2/100),258个漏洞汇总(2026-03)
- 安天 CERT - ClawHavoc恶意技能包事件分析,1,184个恶意包(2026-02)
- 欧盟数据保护委员会(EDPB) - AI智能体GDPR合规审计(2026-03)
- 彭博社(Bloomberg) - 中国国企/政府机关OpenClaw禁用令报道(2026-03-11)
- 路透社(Reuters) - 中国工信部首份官方说明报道(2026-02-05)
- PT Security dBugs - CVE-2026-27001在野利用情报(2026-03)
Tier 2 专业机构/行业安全公司(5个):
- Endor Labs - Cline npm包静默安装OpenClaw的二阶供应链攻击(2026-03)
- Bitdefender - AI智能体安全威胁遥测,ClawHub 20%技能包含恶意代码(2026-03)
- Netskope - 2026年云安全威胁报告,影子AI威胁数据(2026-03)
- Onyx AI - CLAW-10企业AI智能体成熟度评分(1.2/5.0),行业合规要求汇总(2026-03)
- 国枫律师事务所 / 天元律师事务所 - AI工具法律责任专项分析(2026-03)
所有安全公告、合规条款和漏洞数据已与原始来源核对,确保准确性。
免责声明: 本内容由AI基于公开信息分析生成,仅供参考,不构成法律或合规建议。具体合规决策请咨询专业法律顾问和信息安全团队。
作者: Discovery编辑团队 | 发布时间: 2026-03-20
