AIPress.com.cn报道

3月13日消息，国家网络安全通报中心发布《OpenClaw 风险预警》，提示当前广泛部署的AI智能体平台存在多项安全隐患，相关资产已成为网络攻击的重要目标。

通报指出，智能体平台 OpenClaw 自发布以来，凭借自动化任务处理能力和开放式插件生态迅速走红，在全球范围内形成部署热潮。监测数据显示，目前全球活跃的OpenClaw互联网资产已超过20万个，其中中国境内约为2.3万个，主要分布在北京、上海、广东、浙江、四川和江苏等互联网资源密集地区。大量OpenClaw实例直接暴露在互联网环境中，安全配置不足，存在被攻击者利用的风险，可能导致服务器被远程控制或敏感数据泄露。

以下为《OpenClaw 风险预警》全文：

一、OpenClaw 主要安全风险

OpenClaw 在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全风险，一旦被攻击者利用，可能导致服务器被控制、敏感数据泄露等严重安全问题。

架构设计缺陷多，层层皆可破。OpenClaw 采用多层架构，但是每层均存在设计缺陷。IM 集成网关层可被攻击者伪造消息绕过身份认证，智能体层可被多轮对话修改 AI 智能体行为模式，执行层与操作系统直接交互存在被完全控制风险，产品生态层遭投毒的恶意技能插件可批量感染用户设备。

默认配置风险高，公网暴露广。OpenClaw 默认绑定 0.0.0.0:18789 地址并允许所有外部 IP 地址访问，远程访问无需账号认证，API 密钥和聊天记录等敏感信息明文存储，公网暴露比例高达 85%。

高危漏洞数量多，利用难度低。OpenClaw 历史披露漏洞多达 258 个，其中近期暴露的 82 个漏洞中，超危漏洞 12 个、高危漏洞 21 个、中危漏洞 47 个、低危漏洞 2 个，以命令和代码注入、路径遍历和访问控制漏洞类型为主，利用难度普遍较低。

供应链投毒比例高，生态不安全。针对 ClawHub 的 3016 个技能插件分析发现，336 个插件包含恶意代码，占比高达 10.8%。17.7% 的 ClawHub 技能插件会获取不可信第三方内容，成为间接引入安全隐患的载体。2.9% 的 ClawHub 技能插件会在运行时从外部端点动态获取执行内容，攻击者可远程修改 AI 智能体执行逻辑。

智能体行为不可控，管控难度大。OpenClaw 智能体在执行指令过程中易发生权限失控现象，导致越权执行任务并无视用户指令，可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况，造成重大经济损失。

二、OpenClaw 风险防范建议

及时升级版本。通过可信来源获取安装程序，关注官方安全公告，及时更新至最新版本，及时修复已披露安全漏洞。

优化默认配置。仅在本地或内网地址运行，避免绑定公网地址或开放不必要端口，如使用反向代理，需配置身份认证、IP 白名单和 HTTPS 加密。

谨慎安装第三方插件。通过官方渠道获取第三方技能插件，避免安装来源不明的扩展程序。对已安装插件进行功能审查，发现可疑行为立即卸载。

加强账户认证管理。启用身份认证机制，设置高强度密码并定期更换，避免使用弱口令。

限制智能体执行权限。对 AI 智能体的操作能力进行必要限制，仅允许执行白名单中的系统命令和操作权限，防止 AI 智能体被恶意指令利用后对个人终端设备造成实质性破坏。