研究：Openclaw 中的关键漏洞允许完全劫持管理员权限

“可信环境”的谬误

Web3安全公司Certik于3月31日发布的研究报告，揭开了开源人工智能（AI）平台Openclaw内部安全边界“系统性崩溃”的真相。 尽管该框架在GitHub上迅速获得超过30万个星标，但在短短四个月内已累积了100多个CVE和280份安全公告，形成了研究人员所称的“无边界”攻击面。 该报告指出了一个根本性的架构缺陷：Openclaw最初是为“受信任的本地环境”设计的。 然而，随着该平台人气暴涨，用户开始将其部署在面向互联网的服务器上——而该软件从未具备应对这种转变的能力。 根据研究报告，研究人员发现了多个危及用户数据的高风险故障点，其中包括关键漏洞 CVE-2026-25253，该漏洞允许攻击者夺取完全的管理控制权。 黑客只需诱使用户点击一个恶意链接，即可窃取身份验证令牌并劫持该 AI 代理。 与此同时，全球范围的扫描显示，82 个国家/地区存在超过 13.5 万个暴露在互联网上的 Openclaw 实例。其中许多默认禁用了身份验证，导致 API 密钥、聊天记录和敏感凭据以明文形式泄露。 报告还指出，该平台用于存储用户共享“技能”的仓库已被恶意软件渗透，发现数百个此类扩展程序捆绑了信息窃取器，旨在窃取保存的密码和加密货币钱包信息。 此外，攻击者现在正将恶意指令隐藏在电子邮件和网页中。当AI代理处理这些文档时，可能会在用户不知情的情况下被迫外泄文件或执行未经授权的命令。

“Openclaw 已成为一个典型案例，展示了当大型语言模型不再是孤立的聊天系统，而是开始在真实环境中运行时会发生什么，”Penligent 的一位首席审计员表示。“它将经典的软件缺陷整合到一个具有高度委托权限的运行时环境中，使得任何单个漏洞的破坏范围都变得极其巨大。”

缓解措施与安全建议

针对这些发现，专家敦促开发者和终端用户均采取“安全第一”的策略。对于开发者，该研究建议从项目初期就建立正式的威胁模型，强制实施严格的沙箱隔离，并确保任何由 AI 生成的子进程仅继承低权限且不可变的权限。

对于企业用户，安全团队应使用终端检测与响应（EDR）工具，在企业网络内定位未经授权的 Openclaw 安装。另一方面，建议个人用户仅在沙箱环境中运行该工具，且不得接触生产数据。最重要的是，用户必须更新至 2026.1.29 版或更高版本，以修复已知的远程代码执行（RCE）漏洞。

尽管 Openclaw 的开发者近期已与 VirusTotal 合作，对上传的技能进行扫描，但 Certik 研究人员警告称这并非“万灵药”。在该平台达到更稳定的安全阶段之前，业界共识是将其视为本质上不可信的软件。

常见问题 ❓

• 什么是 Openclaw？Openclaw 是一个开源 AI 框架，其 GitHub 星标数量已迅速突破 30 万。
• 为何存在风险？该框架原本设计用于受信任的本地环境，但如今已被广泛部署于网络，从而暴露了重大漏洞。
• 存在哪些威胁？关键 CVE 漏洞、受恶意软件感染的扩展程序，以及遍布 82 个国家的 13.5 万多个暴露实例。
• 用户如何保障安全？仅在沙箱环境中运行，并更新至 2026.1.29 或更高版本。