2026年春节后,OpenClaw(俗称“AI龙虾”)的爆火席卷全网,从科技极客的小众玩物快速渗透至普通职场、高校乃至企业场景。这款由奥地利开发者Peter Steinberger于2025年11月发布的开源AI智能体,曾用名ClawdBot、Moltbot,后因商标侵权两次更名,其创始人后续加入OpenAI,项目以基金会形式持续运营。它以“高自主性、强执行力”为核心,凭借“能干活、可进化”的特性收获海量用户,截至2026年3月中旬,其GitHub星标数已突破27万,超越Linux登顶全球开源项目榜首,英伟达CEO黄仁勋曾评价“Linux花了30年才达到的成就,OpenClaw只用了3周”。但与此同时,其设计架构的先天缺陷、高频爆发的安全漏洞,也给安全行业带来了一场猝不及防的考验。当“养龙虾”成为全民热潮,安全从业者们不得不直面一个现实:AI智能体的大众化应用,正在重构网络安全的攻击面与防御体系,既是亟待破解的新挑战,也暗藏行业发展的新机遇。
AI龙虾的安全软肋:开源架构下的多重风险闭环
不同于传统AI工具的“对话式输出”,OpenClaw的核心风险源于其“执行级权限”与“开源特性”的叠加——它本质上是一个拥有持久凭证、能执行任意代码的运行时环境,可在本地设备24小时后台运行,通过Telegram、Discord等常用通讯软件实现交互,无需额外安装专属应用,灵活性极强。这种“高能代理”设计本身就是一把双刃剑,既赋予其高效便捷的核心优势,也让其成为黑客攻击的重点目标,其安全风险呈现出“多维度、高致命、易扩散”的特点,形成了“设计缺陷→漏洞爆发→供应链污染→用户误操作”的完整风险闭环。
一、设计层面的根本性缺陷:零默认认证与高权限暴露
OpenClaw的核心架构决定了其天生的安全短板:默认安装后,其控制平面(Gateway)直接暴露WebSocket接口,且无任何身份验证机制,这是目前最致命、最易被利用的安全隐患。据网络安全扫描平台Censys和Shodan最新数据显示,2026年1月底已有2万多台OpenClaw实例直接暴露在公网,截至3月中旬,这一数字已飙升至41万例,其中约15.6万例存在已知的数据泄露风险,相当于十几万台电脑处于“裸奔”状态,攻击者可直接通过恶意链接或聊天消息窃取token,实现对设备的完全接管,无需复杂技术操作。
更值得警惕的是,OpenClaw能以当前用户身份运行shell命令、读写任意本地文件、操作浏览器、调用各类API接口,微软安全博客曾明确将其定性为“安全噩梦”,指出其“应视为不受信任的代码执行环境 + 持久凭证载体”。一旦被注入恶意指令或恶意技能,后果就是主机完全沦陷,核心数据、凭证密钥被窃取,甚至沦为黑客发起分布式拒绝服务(DDoS)攻击的“肉鸡”,对个人用户和企业用户均构成严重威胁。
二、漏洞爆发常态化:高频漏洞与滞后修复的矛盾
据国家信息安全漏洞库(CNNVD)官方统计,2026年1月至3月10日,共采集到OpenClaw相关漏洞82个,其中超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞2个,高危及以上漏洞占比达39.02%,涵盖访问控制缺陷、代码实现错误、路径遍历、远程代码执行(RCE)等多种致命类型。另据开源安全社区披露,截至3月中旬,OpenClaw已公开的CVE漏洞达14个,GitHub Security Advisory(安全公告)超150条,且漏洞数量仍在持续攀升,平均每3天就有1个新漏洞被发现。
其中,CVE-2026-25253(俗称ClawJacked漏洞)CVSS评分高达8.8分,属于高危漏洞,攻击者只需诱导用户访问一个恶意网页,即可远程控制其本地运行的OpenClaw,毫秒级完成攻击,无需用户额外操作;3月集中爆发的CVE-2026-28466、CVE-2026-28363等临界漏洞,CVSS评分均在9.2~9.9分之间,可实现Node调用审批绕过、命令注入等高危操作,影响OpenClaw 2026.2.15及此前所有版本。尽管OpenClaw基金会修复速度极快,多数漏洞可在当天或次日发布补丁,但旧版本泛滥成灾,加上普通用户和部分企业缺乏漏洞修复意识,导致漏洞被黑客持续利用,形成“漏洞修复→新漏洞出现→旧版本未更新→攻击持续”的恶性循环。
三、供应链与用户层面的双重叠加风险
OpenClaw的开源特性同时带来了双重供应链安全风险:一方面是指令供应链风险,其默认将来自聊天、邮件、共享feed的文本均视为可信输入,提示注入(Prompt Injection)攻击可永久修改代理行为、窃取凭证、执行破坏命令,且攻击痕迹难以追溯;另一方面是代码供应链风险,ClawHub官方技能市场允许任何人上传技能包,无需严格审核,2026年1月“ClawHavoc”攻击事件中,就有341个伪装成实用工具的技能包被植入Atomic Stealer信息窃取器,通过偷取OpenClaw API Key实现远程控制。据安全厂商Snyk最新审计报告,ClawHub技能市场中36%的技能包存在安全缺陷,其中1467个含恶意载荷,直接威胁用户设备安全。
而用户层面的认知误区与操作不当,进一步加剧了风险扩散。大量非技术小白跟风安装,却不懂如何正确配置权限,直接将OpenClaw暴露在公网;部分用户随意下载来源不明的“技能包”,误将黑客伪装的恶意工具当作“效率插件”;还有用户使用管理员权限部署,且未对删除文件、修改系统设置等高危操作设置二次确认,一旦出现误操作或恶意攻击,便会造成不可逆的损失。据公开案例显示,Meta安全总监曾因OpenClaw误操作,被批量删除200多封重要工作邮件;安徽师范大学、江苏师范大学均出现学生因OpenClaw误删科研实验数据、课程论文且无法恢复的情况,凸显用户操作不当带来的实际风险。
安全行业的应对:从被动防御到主动赋能的转型
AI龙虾的爆火,本质上是AI智能体从技术探索走向大众应用的一次集中爆发,其带来的安全风险,不仅是对普通用户的考验,更是对安全行业的一次倒逼——它打破了传统网络安全的防御逻辑,要求安全行业从“被动防御”向“主动适配、精准防护”转型,在应对风险的同时,也催生了新的防护需求与行业机遇,推动安全技术与AI技术的深度融合。
一、应急响应:快速联动,筑牢基础防御防线
面对OpenClaw的安全危机,国内安全行业已快速启动应急响应机制,形成“监管+厂商+社区”的联动防御体系。国家互联网应急中心(CNCERT)、工信部、CNNVD联合发布多轮安全预警,明确提示OpenClaw的高安全风险,工信部网络安全威胁和漏洞信息共享平台(CCTVS)更是发布“六要六不要”安全建议,详细指导用户规范部署、安全使用;360、腾讯、奇安信等头部安全厂商迅速行动,360推出针对OpenClaw的漏洞扫描工具,可快速检测设备是否存在高危漏洞及公网暴露风险,同时发布漏洞修复指南;腾讯云不仅上线OpenClaw极速部署服务,还推出专属安全工具箱,同时在腾讯电脑管家中新增“龙虾管家-AI安全沙箱”,为个人用户提供隔离防护,避免恶意攻击扩散。
此外,安全社区也积极参与漏洞治理,Alex Polyakov(Adversa AI)开源的SecureClaw审计工具,包含55项自动化安全检查,可直接作为OpenClaw技能运行,帮助用户快速排查权限配置、漏洞隐患等问题;开源社区与OpenClaw基金会建立漏洞快速披露与修复联动机制,推动项目安全迭代,缓解漏洞带来的攻击压力,形成“发现-披露-修复-普及”的闭环治理模式。
二、技术适配:针对性研发,破解AI智能体防护难题
OpenClaw的安全挑战,核心是“AI自主执行”与“安全可控”的矛盾,传统网络安全技术(如防火墙、杀毒软件)难以适配其高自主性、高灵活性的特点,倒逼安全行业针对性研发新的防护技术与产品。目前,安全厂商的研发重点集中在三个方向:一是权限管控技术,通过最小权限原则,限制OpenClaw的文件访问、命令执行权限,对删除文件、修改系统设置等高危操作设置强制审批,避免权限滥用;二是恶意技能检测技术,建立技能包安全审计机制,通过静态代码分析、行为特征识别等方式,自动识别恶意代码、恶意指令,拦截来源不明的技能包;三是行为监控技术,实时监测OpenClaw的操作行为,建立正常行为基线,识别异常访问、异常指令执行等行为,及时阻断攻击行为,降低损失。
值得关注的是,OpenAI推出的智能安全防护研究助手Aardvark,为AI智能体的安全防护提供了新的思路。这款由GPT‑5提供技术支持的自主智能体,可持续分析源代码仓库,识别漏洞、评估可利用性、确定严重程度优先级,并提出针对性修补方案,其在基准测试中成功识别92%的已知和人为注入漏洞,展现出强大的漏洞检测能力,未来或可应用于OpenClaw等开源AI智能体的安全防护,实现“AI防御AI”的闭环,推动防护技术向智能化升级。
三、场景化防护:区分场景,精准规避行业风险
针对不同场景的安全需求,安全行业正推动场景化防护方案的落地,重点聚焦高校、企业、政务等高危场景,实现“精准防护、分级管控”。对于高校,江苏师范大学、安徽师范大学、浙江大学等已陆续发布通知,严禁使用管理员权限部署OpenClaw,严禁将服务暴露至公网或校园网,审慎下载第三方技能包,防范科研数据、学生个人信息泄露;对于企业,安全厂商推出企业级OpenClaw防护方案,通过本地隔离部署、权限分级管控、行为审计日志、漏洞自动修复等功能,防范核心代码、商业机密、客户数据泄露,同时提供漏洞修复、应急响应、安全培训等增值服务,适配企业规模化部署需求;对于政务、金融、医疗等核心领域,相关监管部门明确要求谨慎使用OpenClaw,严禁在核心系统、敏感设备上部署,避免因权限配置不当导致敏感数据泄露、系统瘫痪等重大损失,保障关键领域安全。
行业启示:AI智能体时代,安全防护需“与时俱进”
OpenClaw的爆火及其安全隐患,给安全行业带来了深刻启示:随着AI智能体的普及,网络安全的攻击面正在不断扩大,攻击方式也从传统的恶意代码、网络攻击,向“AI诱导攻击、技能投毒、提示注入”等新型攻击方式转变,安全防护的核心也需从“防御外部攻击”向“防控AI本身的安全风险”延伸,实现“技术适配、风险可控、全程可管”。
对于安全企业而言,需紧跟AI技术的发展趋势,提前布局AI智能体防护技术的研发,打破传统防护思维的局限,打造“检测-预警-防御-修复-审计”的全流程防护体系,同时加强与开源社区、AI研发团队的联动,推动安全技术与AI技术的深度融合,推出适配不同场景的防护产品,满足个人、企业、政务等多维度需求;对于安全从业者而言,需提升自身的AI安全素养,深入研究AI智能体的安全漏洞与攻击方式,掌握新型防护技术,适应AI时代的安全防护需求,成为“AI+安全”复合型人才;对于监管部门而言,需加快完善开源AI智能体的安全监管体系,明确开源项目的安全责任,规范技能市场审核、部署行为,建立长效监管机制,引导行业健康有序发展。
不可否认,AI龙虾(OpenClaw)的出现,推动了AI智能体的大众化应用,也为安全行业带来了新的发展机遇。但新技术的发展从来都伴随着风险,安全行业的核心使命,就是在拥抱技术进步的同时,防范技术带来的安全隐患。未来,随着技术的成熟、防护体系的完善,AI智能体与安全防护将实现协同发展,既让技术真正服务于人、提升生产效率,也让安全始终成为技术发展的“生命线”,推动AI产业与安全行业双向赋能、共同进步。
