一项新的研究警告称,在研究人员发现关键漏洞、被恶意软件感染的扩展以及提示注入风险之后,Openclaw 正面临系统性的安全崩溃。该风险使攻击者能够窃取数据或劫持系统。
3月31日,Web3 安全公司 Certik 的一项研究撤下了“系统性崩溃”的面纱,指称 Openclaw 内部的安全边界正遭遇系统性瓦解。尽管该开源人工智能(AI)平台发展迅猛,迅速攀升至超过 300,000 个 Github 赞,框架在短短四个月内已经累积了超过 100 个 CVE 和 280 条安全通告,研究人员称之为“无界”的攻击面。
报告指出一个根本性的架构缺陷:Openclaw 最初为“可信的本地环境”而设计。然而,随着平台人气爆发式增长,用户开始将其部署到面向互联网的服务器——而这种软件并未被设计来应对这一转变。
根据研究报告,研究人员识别出若干高风险失效点,这些问题危及用户数据,包括关键漏洞 CVE-2026-25253。该漏洞允许攻击者夺取完整的管理员控制权。通过诱骗用户点击一个恶意链接,黑客就能窃取身份验证令牌,并劫持 AI 代理。
与此同时,全球扫描发现有超过 135,000 个面向互联网暴露的 Openclaw 实例分布在 82 个国家。许多实例默认禁用了身份验证,从而以明文泄露 API 密钥、聊天历史记录以及敏感凭据。报告还进一步断言,该平台中用于用户共享“技能”的代码库已被恶意软件渗透,并且发现其中数百个扩展捆绑了信息窃取器,用于窃取已保存的密码以及加密货币钱包。
此外,攻击者现在将恶意指令隐藏在电子邮件和网页中。当 AI 代理处理这些文档时,它可能在不经用户知情的情况下被迫外传文件或执行未授权命令。
“Openclaw 已成为一个案例,展示了当大语言模型不再是被隔离的聊天系统,而开始在真实环境中行动时会发生什么,”来自 Penligent 的首席审计员表示。“它把经典的软件缺陷聚合到一个具有高委托权限的运行时环境中,使得任何单一漏洞的‘爆炸半径’都变得巨大。”
针对这些发现,专家敦促开发者和终端用户都采取“安全优先”的方法。对于开发者,研究建议从第一天起建立正式的威胁模型,实施严格的沙箱隔离,并确保任何由 AI 生成的子进程仅继承低权限且不可变的权限。
对于企业用户,安全团队被敦促使用终端检测与响应(EDR)工具,在企业网络中定位未授权的 Openclaw 安装。另一方面,鼓励个人用户仅在沙箱环境中运行该工具,且不得访问生产数据。最重要的是,用户必须更新到 2026.1.29 或更高版本,以修补已知的远程代码执行(RCE)漏洞。
尽管 Openclaw 的开发者近期与 Virustotal 合作扫描了上传的技能,Certik 的研究人员仍警告称这“并非万能药”。在该平台进入更稳定的安全阶段之前,业界共识是将该软件视为本质上不可信。
