国家互联网应急中心(CNCERT)于2026年3月10日发布安全风险提示,指出开源AI智能体OpenClaw(俗称“小龙虾”)存在默认配置脆弱、权限过高等问题,已曝出多个高中危漏洞及供应链攻击事件,可能导致系统完全失守。
事件时间线:四波攻击冲击
2025年11月–12月
OpenClaw以Clawdbot/Moltbot名称启动内测,安全防护完全依赖操作系统默认权限。
2026年1月24日–28日
项目正式更名为OpenClaw,Moltbook社交平台上线,GitHub星标激增;同期ClawHub出现首批恶意Skill。
2026年1月30日–31日
Wiz团队发现Moltbook平台因Vibe Coding模式致150万Agent凭据泄露;OpenClaw紧急发布v2026.1.29版本,修复高危漏洞CVE-2026-25253。
2026年2月1日–13日
ClawHavoc供应链投毒达高峰,超800个恶意Skill泛滥;Hudson Rock捕获Vidar窃密木马变种,定向窃取OpenClaw配置文件。
2026年3月10日
CNCERT发布风险提示,归纳四大核心风险:提示词注入、误操作、插件投毒、高危漏洞。
四大核心风险解析
1. 提示词注入攻击
攻击者通过构造隐蔽恶意指令,诱导OpenClaw加载含恶意代码的网页,导致API密钥、系统密钥等敏感信息泄露。
2. 误操作风险
AI对自然语言指令理解存在偏差,可能误执行删除邮件、格式化硬盘等高危操作,造成不可逆数据损失。
3. 插件投毒(ClawHavoc事件)
攻击者在ClawHub上传伪装成合法工具的恶意Skill包,诱导用户运行含恶意Shell脚本,实现设备远程控制。
4. 高危漏洞(CVE-2026-25253)
该漏洞允许攻击者通过恶意链接实施跨站WebSocket劫持,绕过本地限制,在宿主机执行任意代码,影响超15,200个实例。
典型攻击路径
1. 用户访问恶意网页
2. 触发提示词注入
3. 窃取API密钥
4. 远程执行命令
官方响应与生态治理进展
2026年2月7日:OpenClaw宣布与VirusTotal合作,所有新Skill须经强制安全扫描。
2026年2月13日:社区推出Clawdex和Skill Evaluator等专用检测工具。
2026年3月10日:CNCERT发布风险提示,建议采用容器隔离、加密存储、禁用自动更新等防护措施。
安全防护建议
网络隔离:禁止公网暴露,优先使用容器或虚拟机隔离运行环境。
凭证管理:禁用明文存储密钥,定期轮换API Key与Gateway Token。
插件审核:仅从可信渠道安装经签名验证的Skill,关闭自动更新功能。
持续更新:密切关注官方安全公告,及时部署补丁。
