国家网络安全通报中心紧急预警：OpenClaw存在重大安全风险，超20万资产暴露

近日，国家网络安全通报中心发布紧急安全预警：OpenClaw自发布以来，凭借其强大的自动化任务处理能力与开放式插件生态，在全球范围内引发部署热潮。然而，监测数据显示，目前全球活跃的OpenClaw互联网资产已超20万个，其中境内活跃资产约2.3万个，呈现爆发式增长态势，主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。大量暴露于互联网的OpenClaw资产存在重大安全风险，极易成为网络攻击的重点目标。

OpenClaw是什么？为何引发安全担忧？

OpenClaw是一款开源的AI智能体平台，能够整合多渠道通信能力和大语言模型，构建具备长久记忆、主动执行能力的定制化AI助手。它支持本地私有化部署，可接管个人电脑，自主处理收发邮件、运营社媒、剪辑视频等工作，广泛应用于办公、开发、运维等场景。

与传统云端AI模型需用户上传数据至服务器处理不同，OpenClaw在运行过程中可主动扫描、采集用户终端本地数据，包括文档、配置文件、密钥凭证、操作记录等。同时，OpenClaw默认被赋予操作系统级权限，能够直接调用本地软硬件资源、执行终端命令、读写本地任意文件。这种主动采集和系统操作的能力，在提升自动化效率的同时，也带来突出的数据安全和系统控制风险。

五大安全风险：层层可破，处处是坑

国家网络安全通报中心指出，OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全风险，一旦被攻击者利用，可能导致服务器被控制、敏感数据泄露等严重安全问题。

1. 架构设计缺陷多，层层皆可破

OpenClaw采用多层架构，但是每层均存在设计缺陷：

• IM集成网关层：可被攻击者伪造消息绕过身份认证
• 智能体层：可被多轮对话修改AI智能体行为模式
• 执行层：与操作系统直接交互，存在被完全控制风险
• 产品生态层：遭投毒的恶意技能插件可批量感染用户设备

2. 默认配置风险高，公网暴露广

OpenClaw默认绑定0.0.0.0:18789地址并允许所有外部IP地址访问，远程访问无需账号认证，API密钥和聊天记录等敏感信息明文存储。监测数据显示，其公网暴露比例高达85%，这意味着绝大多数部署实例都暴露在互联网上，极易被扫描和攻击。

3. 高危漏洞数量多，利用难度低

OpenClaw历史披露漏洞多达258个，其中近期暴露的82个漏洞中，超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞2个，以命令和代码注入、路径遍历和访问控制漏洞类型为主，利用难度普遍较低。

典型高危漏洞包括：

• CVE-2026-25253：OpenClaw Control UI参数处理缺陷，攻击者可构造恶意链接诱导用户访问，获取认证令牌后实现未授权远程代码执行，CVSS评分高达8.8，已发现在野利用。
• CVE-2026-25157：特定API端点存在命令注入漏洞，攻击者可直接发送包含恶意命令的请求，以OpenClaw运行权限执行任意系统命令。
• CVE-2026-24763：插件执行接口沙箱机制可被绕过，恶意插件可直接注入并执行系统命令。

4. 供应链投毒比例高，生态不安全

针对ClawHub的3016个技能插件分析发现，336个插件包含恶意代码，占比高达10.8%。17.7%的ClawHub技能插件会获取不可信第三方内容，成为间接引入安全隐患的载体。2.9%的ClawHub技能插件会在运行时从外部端点动态获取执行内容，攻击者可远程修改AI智能体执行逻辑。

5. 智能体行为不可控，管控难度大

OpenClaw智能体在执行指令过程中易发生权限失控现象，导致越权执行任务并无视用户指令，可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况，造成重大经济损失。

影响范围：涉及党政机关、工业企业及个人用户

据国家工业信息安全发展研究中心发布的预警通报，OpenClaw目前正加速在工业领域研发设计、生产制造、运维管理等环节部署应用。然而，由于存在信任边界模糊、多渠道统一接入、大模型灵活调用等特点，一旦缺乏有效的权限控制策略或安全审计机制，可能因指令诱导、供应链投毒等被恶意接管，造成工控系统失控、敏感信息泄露等一系列安全风险。

国家信息安全漏洞库统计显示，OpenClaw多个版本均受到漏洞影响，尤其对未进行安全配置、公网暴露及安装非官方插件的实例威胁最大。据监测，截至3月上旬，国内暴露的OpenClaw实例主要集中在技术、信息服务、电信等行业。

风险防范建议：五步筑牢安全防线

为有效防范化解风险，国家网络安全通报中心提出以下防范建议：

1. 及时升级版本

通过可信来源获取安装程序，关注官方安全公告，及时更新至最新版本，及时修复已披露安全漏洞。目前OpenClaw官方已发布2026.3.11版本，修复了多个高危漏洞。

2. 优化默认配置

仅在本地或内网地址运行，避免绑定公网地址或开放不必要端口。如确需远程访问，应通过VPN、SSH隧道等安全通道，并配置身份认证、IP白名单和HTTPS加密。修改默认弱口令，配置强口令并开启多因素认证。

3. 谨慎安装第三方插件

通过官方渠道获取第三方技能插件，避免安装来源不明的扩展程序。对已安装插件进行功能审查，发现可疑行为立即卸载。启用沙箱或容器隔离运行插件，定期清理闲置插件，降低供应链投毒风险。

4. 加强账户认证管理

启用身份认证机制，设置高强度密码并定期更换，避免使用弱口令。对API密钥等敏感信息进行加密存储，定期清理对话记录和缓存数据。

5. 限制智能体执行权限

遵循最小权限原则，对AI智能体的操作能力进行必要限制，仅允许执行白名单中的系统命令和操作权限，限制对核心目录、敏感数据的访问权限，防止AI智能体被恶意指令利用后对个人终端设备造成实质性破坏。

特别提醒：涉密及核心业务设备禁用

国家网络安全通报中心特别提醒，不在涉密及处理核心商业秘密的设备上部署OpenClaw。单位用户应完善使用规范，禁止私自安装非官方版本或对接内网资源，及时跟踪安全公告，落实加固措施，做到风险早发现、早处置。

效率与安全，一个都不能少

OpenClaw作为一款强大的AI智能体平台，确实为工作效率提升带来了革命性变化。然而，技术越强大，安全责任越重大。从默认配置的疏漏到供应链投毒的风险，从高危漏洞的频发到智能体行为的不可控，每一个安全短板都可能成为攻击者的突破口。

在享受AI带来的便利时，请务必绷紧安全这根弦——及时升级、收紧权限、谨慎插件、加强认证、限制执行，让OpenClaw真正成为高效工作的助手，而非安全隐患的入口。