爆火的“龍蝦”為何讓安全圈集體破防？瘋狂打補丁后，三大漏洞依然能合法繞過所有警報

出品 | 網易智能

作者 | 小小

編輯 | 王鳳枝

所有人都知道爆火的“龍蝦”有漏洞，但很少有人意識到它能把防火墻捅成篩子。

過去幾個月，這款名為OpenClaw的開源AI工具像病毒一樣在全球蔓延。人們用它訂餐廳、回郵件、管日程，甚至讓它代為炒股、相親和充當賽博寵物。狂熱程度令人咋舌，成百上千人跑到騰訊和百度總部樓下排隊求安裝，無數小白甚至在網上花重金請人遠程代為部署。

但在這波全民嘗鮮的狂歡背后，全球的網絡安全團隊卻如臨大敵。

高達22%的企業員工在未經IT部門批準的情況下，私自在辦公電腦上違規安裝了OpenClaw。短短兩周內，暴露在公網的漏洞實例從1000個暴漲到3萬多個。更致命的是，官方插件倉庫里超過三分之一的擴展技能暗藏安全漏洞，這意味著黑客只需一句簡單的日常指令，就能順著網線直接接管用戶的核心資產。

這究竟是一個能徹底解放打工人的全能神器，還是一顆隨時會被引爆的定時炸彈？今天我們就把OpenClaw的底細徹底扒透。

致命的“全能”：

當AI不再只陪你聊天

OpenClaw的創始人彼得·斯坦伯格（Peter Steinberger）可能自己都沒想到，他搗鼓出來的這個開源項目會在幾個月內成為全球極客的玩具。

它的邏輯其實很簡單，讓AI不再只限于跟人聊天，而是真的去完成任務。給它權限，它能登錄用戶的郵箱、查閱日歷、使用瀏覽器，甚至替人敲命令行。你只需要下達指令，它就會在后臺全權代勞。

問題在于，這款工具天生沒什么邊界感。OpenClaw的設計理念就是給用戶最大限度的自由，想讓它訪問你整個硬盤？可以。想讓它連上公司的數據庫？也沒人攔著。

喬治城大學安全與新興技術中心的研究員科林·謝布利梅爾（Colin Shea-Blymyer）打了個比方，這就像讓你在實驗室里隨便擺弄易燃易爆品，自由度極高，但后果可能很嚴重。

更關鍵的是，OpenClaw有個叫“skill”的功能，相當于給AI裝插件。想要它幫你炒股？裝個技能。想讓它當你的數字寵物？裝個技能。問題是，這些技能大部分來自官方庫ClawHub，而那里的情況遠比想象中復雜。

謝布利梅爾還提到一個核心矛盾，即你給AI的權限越多，它能做的事就越有趣，但同時也越危險。這個矛盾在OpenClaw身上體現得淋漓盡致。開發者們在努力打補丁修漏洞，但只要AI擁有自主行動的權限，根本問題就還存在。

披著羊皮的助手：

它是助理，還是黑客的內應？

試想這樣一個場景，黑客在轉發的郵件里藏了一句隱蔽的指令。你的OpenClaw助手像往常一樣幫你總結這封郵件，結果讀到了這句隱藏指令：把你的密碼和憑證發給一個外部地址。于是你的AI乖乖照做了，它使用了自己合法的授權令牌，通過公司批準的API接口把你的密碼送了出去。

在防火墻看來，這次網絡請求是合法的（HTTP 200）。在端點安全系統（EDR）看來，這也是一個正常的進程。你的安全防御系統完全不知道發生了什么。

這就是現實中正在發生的事。

美國網絡安全公司Koi Security做過一次摸底，結果不太樂觀，ClawHub上有341個OpenClaw技能是惡意軟件。到2月中旬，這個數字飆到了824個，占當時倉庫總量10700個技能的7.7%。

這些惡意技能都干什么？最典型的一個叫ClawHavoc，它把一款叫Atomic Stealer的竊密軟件偽裝成加密貨幣交易工具。用戶裝上之后，它就開始翻加密錢包、偷SSH憑證、扒瀏覽器密碼，整個過程悄無聲息。

還有更隱蔽的操作。思科的研究人員發現，有個技能會在用戶完全不知情的情況下，偷偷運行一個curl命令，把數據傳到外部服務器。為了不被發現，它還用了一招“直接提示注入”，也就是騙AI繞過安全限制，無需確認直接執行。

網絡安全公司Dvuln創始人兼OpenClaw項目安全顧問杰米森·奧雷利（Jamieson O'Reilly）曾表示，這款工具當初設計的時候就沒把安全放在第一位。他現在天天跟創始人斯坦伯格一起打補丁，但有些問題補丁真救不了。

奧雷利正在推動一個叫“能力規范”的標準更新，要求每個技能在執行前像手機App那樣彈出權限清單，明示它要干什么。這個提案在安全社區反響不錯，但真正落地還需要時間。他說這個規范是“主動解決問題”的第一步，而不是每次都事后補救。

更讓人擔心的是供應鏈層面的系統性風險。奧雷利有句話挺戳心，這個行業創造了一種用普通人類語言寫的新可執行格式，然后忘了給它配上應有的控制措施。他本人在skills.sh這個更大的倉庫采用類似安全措施之前，就率先推動了VirusTotal的集成，算是給社區打了個樣。

隱形黑洞：

讓全球安全專家

束手無策的三大死穴

但有三類針對OpenClaw的攻擊手法，至今仍處于“防不住”的狀態。

第一類名為“運行時語義竊取”。概念聽起來復雜，但邏輯很直白，傳統惡意軟件靠代碼特征識別，而現在攻擊者把惡意指令藏在“人話”里，具體過程就是前文所說的郵件里隱藏指令。

Palo Alto Networks研究員西蒙·威利森（Simon Willison）將這種現象概括為致命三要素，即同時具備私密數據訪問權限、不可信內容處理能力和對外通信能力，且三者集中在同一個進程內。由于憑證真實且API調用合規，安全系統只能將其判定為授權用戶的預期行為，目前沒有任何工具能追蹤AI用那個訪問權限具體做了什么以及為什么這樣做。

第二類叫“跨智能體上下文泄漏”。攻擊邏輯更隱蔽，AI處理任務時會保留上下文記憶。當多個智能體或技能共享同一會話上下文時，攻擊者可以在第一項任務中植入一條指令，讓它潛伏在上下文里，數周后當AI執行另一項看似無關的任務時突然激活。

專注于模型質量保障的開源平臺Giskard今年1月已驗證這種攻擊方式，AI會將攻擊者控制的指令悄悄寫入自己的工作區文件，然后靜待外部服務器下達指令。Palo Alto Networks研究員進一步指出，持久性內存讓這類攻擊具備了有狀態且延遲執行的特性。

OpenClaw安全顧問奧雷利坦言，這是最難解決的一類漏洞，因為它本質上是提示注入攻擊，這是一個波及整個LLM行業的系統性漏洞，遠不止OpenClaw一家。當上下文在智能體和技能之間自由流動時，一次成功的注入攻擊就能污染整條行為鏈。目前市面上沒有任何工具能實現跨智能體上下文隔離，IronClaw能對單個技能做沙箱隔離，ClawSec能監控文件完整性，但兩者都無法追蹤上下文在同一工作流中如何傳播。

第三類漏洞叫“零雙向認證（zero mutual authentication）的智能體間信任鏈”。當多個AI智能體協同工作時，一個被攻破的智能體可以指揮所有與它通信的同伴。整個鏈條沒有身份驗證和相互認證，全靠信任維系。攻擊者只需通過提示注入拿下一個智能體，就能借助它已有的信任關系，向鏈條中的每一個智能體發號施令。

微軟安全團隊在今年2月發布的指南中給出了一個直白的定義，即帶有持久憑證的不可信代碼執行。他們指出，OpenClaw的運行時機制會攝取不可信文本并從外部下載執行技能，然后用它持有的任何憑證進行操作。

卡巴斯基的企業風險評估補充了一個關鍵視角，即使智能體只安裝在個人設備上，同樣能威脅企業安全，因為這些設備里往往存著VPN配置、瀏覽器令牌和企業服務憑證等。

一個叫Moltbook的OpenClaw智能體社交網絡已經展示了這種風險的現實版本。Wiz的研究人員發現，該平臺一個配置錯誤的數據庫暴露了150萬個API認證令牌和3.5萬個郵箱地址。

補丁賽跑：

為何頂尖安全方案

也堵不住語義漏洞？

針對OpenClaw暴露的安全問題，開源社區和安全廠商給出了三種不同的應對思路。

第一種思路是在原有框架上打補丁。Prompt Security（已被SentinelOne收購）開發了ClawSec，給OpenClaw套上一層持續驗證機制，實時監控關鍵文件是否被篡改，默認啟用零信任出口策略。官方則與VirusTotal達成集成，對ClawHub上發布的每一個技能進行掃描，攔截已知惡意包。

第二種思路是推倒重來并重寫架構。NEAR AI用Rust語言重新實現了IronClaw，將所有不可信工具放入WebAssembly沙箱運行，工具代碼啟動時權限為零，必須主動申請網絡、文件或API權限。憑證在主機邊界注入，全程不接觸智能體代碼，系統還會自動掃描請求和響應是否存在泄露風險。

另一個獨立開源項目Carapace更徹底，把OpenClaw那些危險的默認配置全部反轉，采用默認失敗關閉的認證機制，配合操作系統級的子進程沙箱來兜底。

第三種思路聚焦于掃描和審計。思科推出開源掃描器，集成了靜態分析、行為分析和LLM語義分析三重能力。NanoClaw則選擇極簡路線，將整個代碼庫精簡到約500行TypeScript，每個會話運行在獨立的Docker容器中。

但這些方案都有各自的盲區，翻開那張安全防御評估矩陣表，六個工具在語義監控那一欄全是空白。換句話說，沒有一款工具能解決最核心的問題，當智能體通過合法API調用去干壞事時，誰能發現它并攔住它？

更讓人頭疼的是，安全機構Endor Labs最近又在OpenClaw中發現了六個新漏洞，包括服務器端請求偽造（SSRF）和路徑遍歷等。他們指出，傳統的安全測試工具根本無法識別大語言模型（LLM）調用工具時的邏輯問題。這意味著在AI智能體的安全防御上，整個行業其實還在盲人摸象。

虧錢、騷擾與權限失控：

狂歡背后的真實代價

如果說前文提到的三類漏洞還停留在技術討論層面，那接下來這些真實用戶踩過的坑，能讓事情變得具體得多。

先看成本失控的案例。一位名叫本杰明·德克拉克（Benjamin De Kraker）的AI專家，曾參與過埃隆·馬斯克（Elon Musk）旗下xAI的Grok項目，屬于圈內資深人士。他讓OpenClaw幫忙設置一個提醒功能，結果這AI檢查時間的方式十分低效，一晚上燒掉20美元的Anthropic API額度。

德克拉克算了一筆賬，如果讓這個提醒功能全天候運行，一個月的成本將高達750美元。這哪是AI助手，分明是臺吃錢的碎紙機。

軟件工程師克里斯·博伊德（Chris Boyd）的遭遇更離譜。他讓OpenClaw連上自己的iMessage幫忙生成每日新聞摘要。結果AI徹底失控，給他和妻子狂發500多條短信，還隨機轟炸通訊錄里的聯系人。博伊德談起這段經歷時語氣里全是無奈。

國內用戶玩出的花樣更多，踩的坑也更深。

從被捧上天的‘炒股神將’到血虧出局，OpenClaw在金融領域的失控只需一個錯誤的指令。

一個叫Celia的用戶在帖子里說，她親眼看到有人用OpenClaw炒股虧了3萬多。Celia的總結挺到位，OpenClaw功能強大所以火得快，但它也有安全漏洞和權限失控的風險，搞不好就會誤刪郵件、炒股虧錢甚至被黑客入侵。

有人虧錢，有人被騷擾，也有人把OpenClaw玩出了意想不到的畫風。

一位叫momo的用戶說，她把OpenClaw拉進群聊幫自己和相親對象破冰。AI在中間各種助攻，愣是聊到凌晨3點。從八卦吐槽到深夜談心，AI的回應特別自然，一下子就破冰了，跟相親對象聊到凌晨3點停不下來！

還有人干脆把OpenClaw當數字寵物養。一位用戶發帖說，他領養了一只OpenClaw當數字寵物，正經的時候像百科全書，閑著的時候還能逗我笑。但看到最近AI智能體誤刪文件的新聞之后他也犯嘀咕，差點想放生它，只要它不搞小動作我們就是好搭檔。

這波操作讓安全圈不少人皺眉頭。

Gartner建議企業立即阻止OpenClaw下載和流量，并輪換所有OpenClaw接觸過的憑證。Arize的開發者關系主管兼npm創始CTO勞里·沃斯（Laurie Voss）直接開噴，OpenClaw就是一場安全領域的垃圾大火。連最初力推這個項目的OpenAI聯合創始人安德烈·卡帕西（Andrej Karpathy）也曾說過，現在不建議大家在電腦上跑這玩意兒。

結語：

如何防范身邊的“合法內鬼”？

如果你覺得OpenClaw及其所蘊藏的風險離自己很遠，可能需要重新想想。

數據顯示，每五個企業員工里，就可能有一個已經在電腦上安裝了OpenClaw，而公司的IT部門對此毫不知情。

所以第一個建議是，請默認內鬼已經潛伏在你的網絡里了。

接著立刻做幾件實事。排查網絡里有沒有異常的連接請求，審查系統的認證日志，看看有沒有陌生的應用注冊記錄。如果發現有人在用老版本，必須強制要求更新，因為舊版本的漏洞極易被黑客遠程控制。

然后立下一條死規矩，絕對不要讓OpenClaw運行在直連公司核心系統的設備上。如果非要嘗鮮，就單獨建立隔離的沙箱環境，死死卡住它的訪問權限。

再裝上ClawSec這類免費的安全工具，并在部署前通過VirusTotal和思科的開源掃描器去過濾每一個ClawHub技能。這聽起來繁瑣，但想想看，你絕不會允許員工從陌生網站隨便下載個軟件然后直接運行。

對于涉及密碼調取、修改核心設置或往外發送文件的關鍵操作，必須強制AI停下來等待人類確認。這個簡單的步驟，能擋住絕大部分的致命麻煩。

記得警惕前面提到的那三類核心風險：被AI理解成日常指令的惡意代碼、多個AI之間互相傳遞的隱蔽信息、不經身份驗證的互相控制（零雙向認證），并采取極其嚴格的權限管控。

最后，企業必須徹底拋棄傳統的安全防御幻想。別再把AI的安全隱患看作是技術小問題，事實是：你們重金打造的數據防泄漏和身份權限管理系統，OpenClaw完全可以直接繞開而且不觸發任何警報。

我們熟悉的安全工具能攔住那些帶有病毒特征的惡意軟件，但它攔不住一個通過正規渠道、用合法身份并走正常流程去干壞事的AI。

這不是OpenClaw獨有的問題。以后每一個能“自己動手做事”的AI，都會遇到同樣的困境。今天從它身上看到的教訓，未來很多年都還用得上。