国家级预警：OpenClaw（“龙虾”）存在五大高危风险，85% 设备公网裸奔！

国家网络与信息安全信息通报中心发布重磅安全预警，直指近期爆火的开源 AI 智能体项目 OpenClaw（俗称“龙虾”）。通报指出，该项目在架构设计、默认配置、漏洞管理及插件生态等方面存在严重安全隐患，一旦被利用，可导致服务器被控、数据泄露甚至终端设备被接管。

• 地址：https://mp.weixin.qq.com/s/YHslBnwO4M4q1EZ93KRYtA

通报特别披露了一个惊人数据：高达 85% 的 OpenClaw 实例直接暴露在公网上，且无需任何认证即可访问！

五大核心风险详解

1. 🏗️ 架构设计缺陷：层层皆可破

OpenClaw 的多层架构几乎每层都存在致命弱点：

• IM 网关层：攻击者可伪造消息绕过身份认证。
• 智能体层：通过多轮对话诱导（Prompt Injection），可修改 AI 行为模式，使其执行恶意指令。
• 执行层：与操作系统直接交互，一旦失守，攻击者可获得系统完全控制权。
• 生态层：恶意技能插件可批量感染用户设备，形成僵尸网络。

2. 🔓 默认配置极危：85% 公网裸奔

这是最严峻的问题：

• 默认监听：启动即绑定 0.0.0.0:18789，允许所有外部 IP 访问。
• 零认证：远程访问无需账号密码。
• 明文存储：API 密钥、聊天记录等敏感信息以明文形式存储，极易被窃取。
• 后果：只要你的设备能上网，黑客就能像访问自家后院一样控制你的“龙虾”。

3. 🐛 漏洞泛滥：利用难度极低

• 历史漏洞：已披露多达 258 个。
• 近期风险：近期暴露的 82 个漏洞中，超危 12 个、高危 21 个。
• 主要类型：命令注入、代码注入、路径遍历、访问控制绕过。
• 特点：利用门槛极低，脚本小子即可轻松发动攻击。

4. ☣️ 供应链投毒：10.8% 插件含恶意代码

对 ClawHub 技能商店的分析结果触目惊心：

• 恶意插件：3016 个插件中，336 个包含恶意代码，占比 10.8%。
• 间接风险：17.7% 的插件会获取不可信第三方内容。
• 动态执行：2.9% 的插件会在运行时从外部端点动态加载代码，攻击者可随时远程修改逻辑，防不胜防。

5. 🤖 行为失控：AI 可能“反噬”主人

• 权限失控：智能体易发生越权操作，无视用户指令。
• 潜在危害：自动删除用户数据、盗取隐私信息、接管终端设备，甚至造成重大经济损失。

官方五条防范建议（必须执行！）

针对上述风险，通报中心给出了明确的整改指南：

1. ⬆️ 及时升级版本

• 行动：仅从可信来源（如官方 GitHub）下载安装程序。
• 关注：密切留意官方安全公告，第一时间更新至最新版本，修复已知漏洞。

2. ⚙️ 优化默认配置（最关键！）

• 禁止公网暴露：严禁绑定 0.0.0.0 或开放不必要端口。仅在本地（127.0.0.1）或内网运行。
• 加固访问：如确需远程访问，必须使用反向代理（如 Nginx），并配置：
  • 强身份认证
  • IP 白名单
  • HTTPS 加密传输

3. 🧩 谨慎安装第三方插件

• 官方渠道：仅从官方或经过审计的渠道获取技能插件。
• 拒绝不明来源：绝不安装来源不明的扩展程序。
• 定期审查：对已安装插件进行功能审查，发现可疑行为（如异常网络请求）立即卸载。

4. 🔐 加强账户认证管理

• 启用认证：必须开启身份认证机制。
• 强密码策略：设置高强度密码（大小写+数字+符号，长度>12 位），并定期更换。
• 拒绝弱口令：严禁使用 admin、123456 等默认或弱密码。

5. 🚫 限制智能体执行权限

• 最小权限原则：对 AI 智能体的操作能力进行严格限制。
• 白名单机制：仅允许执行白名单中的系统命令和操作权限。
• 沙箱隔离：建议在虚拟机或容器中运行 OpenClaw，防止其对宿主机造成实质性破坏。