数据直观展现了这一安全挑战:2025年11月至2026年3月期间,OpenClaw累计产生280条安全公告及100个以上CVE漏洞,清晰地反映出AI智能体在真实应用场景中面临的安全挑战。
报告详细剖析了OpenClaw的核心安全风险:其一,架构性缺陷导致权限失控,其核心网关长期以“访问来源接近性”替代身份验证,攻击者可通过本地来源或URL参数等轻易获取Shell执行、文件访问及多设备控制等完整编排权限。此外,20余个消息平台因使用可变属性及缺失Webhook验证等授权机制设计问题,允许列表频繁被绕过,相关安全公告约60条;其二,执行链漏洞引发本地资产泄露,策略校验与实际执行存在偏差,攻击者通过参数缩写即可绕过拒绝列表,且本地工作空间文件系统边界控制不一致,路径遍历漏洞与沙箱缺口反复出现,扩大了攻击面;其三,供应链与部署风险持续扩大,ClawHub插件市场已发现数百个恶意技能,同时还存在仿冒安装程序、npm软件包,且AI智能体技能可通过自然语言影响系统行为,使其更难被传统检测机制识别。此外,报告还提及了部署配置风险与提示词注入,需通过系统级多层防护应对。
针对上述风险,CertiK提出多维度防御建议:开发者需将安全融入设计初期,加固控制平面管理接口,对派生进程强制执行不可变的权限继承,并引入语义防火墙等系统级防护;部署方需类比管理“特权员工”做好监控审计。运营方应将服务绑定至本地回环地址,使用非Root账户在隔离环境中运行并严审第三方扩展;非技术用户需保持谨慎,在OpenClaw推出更安全版本前,避免赋予其核心账户访问权限。
