国家网络安全通报中心发布OpenClaw安全风险预警
创始人
2026-03-13 21:04:17
0

3月13日,国家网络安全通报中心发布OpenClaw安全风险预警,全文如下:

OpenClaw自发布以来,凭借其强大的自动化任务处理能力与开放式插件生态,在全球范围内引发部署热潮。国家网络与信息安全信息通报中心监测数据显示,目前全球活跃的OpenClaw互联网资产已超20万个,其中境内活跃的OpenClaw互联网资产约2.3万个,呈现爆发式增长态势,主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。大量暴露于互联网的OpenClaw资产存在重大安全风险,极易成为网络攻击的重点目标。

一、OpenClaw主要安全风险

OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全风险,一旦被攻击者利用,可能导致服务器被控制、敏感数据泄露等严重安全问题。

1.架构设计缺陷多,层层皆可破。OpenClaw采用多层架构,但是每层均存在设计缺陷。IM集成网关层可被攻击者伪造消息绕过身份认证,智能体层可被多轮对话修改AI智能体行为模式,执行层与操作系统直接交互存在被完全控制风险,产品生态层遭投毒的恶意技能插件可批量感染用户设备。

2.默认配置风险高,公网暴露广。OpenClaw默认绑定0.0.0.0:18789地址并允许所有外部IP地址访问,远程访问无需账号认证,API密钥和聊天记录等敏感信息明文存储,公网暴露比例高达85%。

3.高危漏洞数量多,利用难度低。OpenClaw历史披露漏洞多达258个,其中近期暴露的82个漏洞中,超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞2个,以命令和代码注入、路径遍历和访问控制漏洞类型为主,利用难度普遍较低。

4.供应链投毒比例高,生态不安全。针对ClawHub的3016个技能插件分析发现,336个插件包含恶意代码,占比高达10.8%。17.7%的ClawHub技能插件会获取不可信第三方内容,成为间接引入安全隐患的载体。2.9%的ClawHub 技能插件会在运行时从外部端点动态获取执行内容,攻击者可远程修改AI智能体执行逻辑。

5.智能体行为不可控,管控难度大。OpenClaw智能体在执行指令过程中易发生权限失控现象,导致越权执行任务并无视用户指令,可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况,造成重大经济损失。

二、OpenClaw风险防范建议

1.及时升级版本。通过可信来源获取安装程序,关注官方安全公告,及时更新至最新版本,及时修复已披露安全漏洞。

2.优化默认配置。仅在本地或内网地址运行,避免绑定公网地址或开放不必要端口,如使用反向代理,需配置身份认证、IP白名单和HTTPS加密。

3.谨慎安装第三方插件。通过官方渠道获取第三方技能插件,避免安装来源不明的扩展程序。对已安装插件进行功能审查,发现可疑行为立即卸载。

4.加强账户认证管理。启用身份认证机制,设置高强度密码并定期更换,避免使用弱口令。

5.限制智能体执行权限。对AI智能体的操作能力进行必要限制,仅允许执行白名单中的系统命令和操作权限,防止AI智能体被恶意指令利用后对个人终端设备造成实质性破坏。

此前,国家互联网应急中心也发布了关于OpenClaw安全应用的风险提示。

报道链接:国家互联网应急中心发布关于OpenClaw安全应用的风险提示

北京建筑大学、华南师范大学、华中师范大学等高校也曾明确禁止在学校办公电脑、服务器等设备上安装OpenClaw。

来源 | 国家网络安全通报中心、上观新闻、此前报道等

相关内容

奕境X9携华为技术登场,第...
7月6日,奕境汽车官方发布了其首创的「天穹智盾」安全架构核心亮点,...
2026-07-06 09:05:04
美国独立日烟花引发Waym...
7月4日美国独立日当晚,Waymo在旧金山运营的自动驾驶出租车发生...
2026-07-06 08:54:09
捷豹路虎国产车停产,经销商...
7月6日,捷豹路虎中国经销商宣布停止进购该品牌所有国产车型。这一决...
2026-07-06 08:12:53
零跑B01/B10新车型曝...
近日,零跑汽车公布了全新B01/B10座舱细节,两款新车预计不久将...
2026-07-05 23:02:42
活力中国调研行丨向“电子工...
也许很多人不知道这些元器件的名字,但小到手机、电脑,大到智能电视、...
2026-07-05 22:24:10
一天送货2万单!大湾区无人...
7月4日,“活力中国调研行”主题采访活动走进深圳市宝安区。在丰翼宝...
2026-07-05 22:22:42
南昌“佛得角”烟酒店意外走...
2026美加墨世界杯,让很多人记住了“佛得角”这个全国人口54万,...
2026-07-05 22:21:23
全程实拍,雅鲁藏布江畔,这...
编者按:天路纵横雪域,铁轨连通山河。拉林铁路如圣洁银白哈达,缠绕雅...
2026-07-05 22:20:34

热门资讯

奕境X9携华为技术登场,第三季... 7月6日,奕境汽车官方发布了其首创的「天穹智盾」安全架构核心亮点,该架构被标榜为行业最高标准安全架构...
美国独立日烟花引发Waymo自... 7月4日美国独立日当晚,Waymo在旧金山运营的自动驾驶出租车发生意外。一辆无人驾驶的Waymo车辆...
捷豹路虎国产车停产,经销商亏损... 7月6日,捷豹路虎中国经销商宣布停止进购该品牌所有国产车型。这一决定距离奇瑞捷豹路虎常熟工厂最后一辆...
零跑B01/B10新车型曝光:... 近日,零跑汽车公布了全新B01/B10座舱细节,两款新车预计不久将上市。全新B01车型配备了50英寸...
活力中国调研行丨向“电子工业大... 也许很多人不知道这些元器件的名字,但小到手机、电脑,大到智能电视、新能源汽车,都离不开这些产品——多...
一天送货2万单!大湾区无人机物... 7月4日,“活力中国调研行”主题采访活动走进深圳市宝安区。在丰翼宝安低空智慧物流运营中心的场坪上,运...
南昌“佛得角”烟酒店意外走红,... 2026美加墨世界杯,让很多人记住了“佛得角”这个全国人口54万,面积约为北京1/4的国家。短短的2...
全程实拍,雅鲁藏布江畔,这对夫... 编者按:天路纵横雪域,铁轨连通山河。拉林铁路如圣洁银白哈达,缠绕雅鲁藏布江河谷,成为地区发展、群众出...
直击广州白云江高疑似龙卷风灾害... 据广州市气象部门通报,7月5日凌晨2时30分前后,白云区江高镇双岗村、茅山村附近疑似出现龙卷风。目前...