openclaw平台存在系统性安全缺陷,表现为明文凭证存储、公网暴露、信任边界模糊、供应链投毒及协议层鉴权缺失五大风险,工信部已预警、gartner定性为“不可接受的网络安全风险”。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜
如果您正在评估是否在生产环境中部署OpenClaw平台,却发现其频繁曝出高危漏洞、被工信部点名预警并遭Gartner定性为“不可接受的网络安全风险”,则该平台当前存在系统性安全缺陷。以下是对其安全性与风险的客观评估:
一、明文凭证存储与技能市场污染风险
OpenClaw的ClawHub插件市场已确认存在大量凭证泄露型技能,开发人员在SKILL.md中直接嵌入API密钥、密码甚至信用卡号,导致敏感信息经LLM上下文窗口以明文形式流转和日志留存。Snyk扫描显示,近4000个注册技能中7.1%(283个)存在此类缺陷,包括moltyverse-email、youtube-data及buy-anything等高使用率技能。
1、检查已安装的ClawHub技能列表,定位所有含api_key、password、card_number等字段的SKILL.md文件。
2、逐项审查技能执行逻辑,确认是否存在将凭证拼接进LLM提示词、输出至控制台或写入本地日志的行为。
3、立即卸载buy-anything v2.0.0等已知高危技能,并从Git历史中清除所有含明文凭证的提交记录。
二、默认配置导致的公网暴露风险
OpenClaw官方默认监听127.0.0.1,但用户为实现远程访问常手动修改为0.0.0.0,若未同步启用强身份验证机制,核心端口18789即成为无防护入口。奇安信鹰图平台测绘显示,中国境内已有2990台设备对外公开暴露该接口,攻击者可不经漏洞利用直接接管系统。
1、运行netstat -tuln | grep :18789(Linux/macOS)或netstat -ano | findstr :18789(Windows),确认监听地址是否为0.0.0.0。
2、若确认为全网监听,立即编辑网关配置文件(如config.json),将"listen_ports"绑定至127.0.0.1:8080等回环地址。
3、在防火墙层面阻断外部对18789端口的所有入站连接,仅允许管理IP段通过SSH隧道访问本地端口。
三、自主执行能力引发的信任边界模糊风险
OpenClaw具备Shell命令执行、文件读写及浏览器自动化能力,但缺乏指令来源鉴权与操作沙箱隔离。一旦遭遇间接提示注入(如恶意Google文档诱导),AI将无差别执行攻击者构造的系统级指令,使本地设备沦为“肉鸡”。Zenity已成功复现该攻击链,证明其无需依赖特定集成即可生效。
1、禁用所有非必要Skills插件,尤其是涉及shell_exec、file_read、browser_control功能的模块。
2、在eBPF安全沙箱配置中显式限制进程能力集,移除CAP_SYS_ADMIN、CAP_DAC_OVERRIDE等高危权限。
3、将OpenClaw运行于独立虚拟机或容器中,通过网络策略禁止其访问内网数据库、域控服务器等关键资产。
四、供应链投毒与标识不稳定风险
OpenClaw经历Clawdbot→Moltbot→OpenClaw多次更名,导致GitHub仓库、PyPI包名、域名及X账号均存在被抢注和冒充现象。攻击者可发布同名恶意包或伪造更新源,诱导用户下载含后门的二进制文件。NVDB监测到已有实例因信任错误源而触发供应链攻击。
1、核对GitHub仓库URL是否为原始组织openclaw-org下主仓库,拒绝任何fork自非官方账号的版本。
2、验证所有安装包的SHA256哈希值是否与openclaw-org.github.io/releases官网公布的签名一致。
3、禁用自动更新功能,所有升级操作必须人工比对Git Commit Hash并执行git verify-tag验证PGP签名。
五、本地网关协议层鉴权缺失风险
OpenClaw本地网关支持HTTP/WebSocket/MQTT六种协议,但默认未启用TLS双向认证与API Key白名单机制。攻击者可通过伪造IM消息或Webhook请求绕过前端过滤,直抵LLM推理层实施提示词注入,进而触发下游RCE漏洞。NVDB指出,该缺陷已关联至少3个已披露的高危远程代码执行漏洞。
1、在网关配置中启用"require_tls": true并强制客户端证书校验。
2、为每个接入的Telegram/Slack Bot Token配置独立API Key,并在protocol_handlers中设置"allowed_origins"白名单。
3、部署WAF规则,拦截包含os.system(、subprocess.run(、eval(等危险函数调用模式的HTTP Body内容。
