随着AI智能体技术的快速普及,现象级框架OpenClaw的走红背后,隐藏着不容忽视的安全危机。近日,CertiK发布《OpenClaw安全报告》,以已公开修复的安全事件为切入点,剖析这款GitHub星标突破30万的AI工具在规模化应用中的多重安全短板,为行业敲响安全警钟。
作为加速落地的AI驱动助手,OpenClaw从边缘项目快速实现大规模部署,但早期基于“本地可信环境”构建的安全体系,已无法适配复杂的实际应用场景。报告数据显示,2025年11月至2026年3月,OpenClaw累计产生280条安全公告,披露100个以上CVE漏洞,其安全现状引发行业广泛关注。
CertiK在报告中,从底层设计到实际部署,全方位拆解了OpenClaw的安全痛点。架构层面,核心网关存在设计缺陷,以“访问来源接近性”替代严格的身份验证,导致攻击者能利用本地来源或URL参数等轻易获取Shell执行、文件访问及多设备控制等完整编排权限;同时,消息平台身份绑定机制不完善,导致允许列表频繁被绕过,相关安全公告达60条。
执行环节的漏洞则直接威胁本地资产安全,策略校验与实际执行脱节,攻击者通过参数缩写即可绕过安全限制,加之本地工作空间文件系统边界控制不一致,路径遍历漏洞与沙箱缺口在多个模块中独立、多次出现,进一步扩大了攻击风险。而供应链与部署环节的隐患更为突出,ClawHub插件市场已发现数百个恶意技能,同时还存在仿冒安装程序、npm软件包等问题。报告提及,AI智能体技能可通过自然语言影响系统行为,难以被传统手段检测。
更值得警惕的是部署配置风险,在82个国家已发现超过13.5万个暴露在网络中的实例;提示词注入作为尚未解决的难题,仅靠模型层无法根治,必须通过多层系统级防护、严格的能力控制,并将持久性存储作为关键攻击面加以保护。
针对这些隐患,CertiK针对性给出全流程防御指引:开发者需将安全融入设计源头,强化权限控制与系统防护;部署方需严格管控权限、做好监控审计,严审第三方扩展;普通用户则需保持谨慎,避免赋予自治智能体对核心账户的访问权限。此次报告的发布,不仅为OpenClaw生态参与者提供安全指引,更提醒整个AI智能体行业,规模化发展必须以安全为前提。
