> **来源:[研报客](https://pc.yanbaoke.cn)** # OpenClaw 漏洞挖掘智能体实践总结 ## 核心内容 本报告基于 360 漏洞研究院的漏洞挖掘智能体实践,对 OpenClaw 生态的安全风险进行了系统性分析。OpenClaw 作为一款 AI Agent 网关,其开放性与灵活性带来了广泛的生态应用,但也伴随着严重的安全风险。报告从 **OpenClaw 架构特征与防御失效分析**、**二次开发中的安全债传递**、**开源自研的安全挑战** 三个维度深入剖析了其安全问题,揭示了当前生态面临的系统性安全威胁。 ## 主要观点 - **OpenClaw 的安全问题已呈现系统性**:随着功能的快速迭代,OpenClaw 的安全公告数量激增,暴露了其在认证、网络、执行与控制四个防御边界上的严重缺陷。 - **安全债务在生态中广泛传播**:无论是通过代码继承还是功能扩展,OpenClaw 的安全问题会以各种形式扩散至下游生态产品,导致漏洞的跨项目重现。 - **开源自研产品也面临安全挑战**:尽管部分产品进行了独立重写,但由于其设计范式与 OpenClaw 同源,仍存在类似的漏洞模式。局部加固反而可能引入新的攻击面。 - **传统安全治理模式已失效**:漏洞修复仅依赖补丁分发和事后响应,难以应对 OpenClaw 所带来的复杂威胁。生态安全需要从底层架构出发,构建系统级防御体系。 ## 关键信息 ### 一、漏洞统计与类型 本研究覆盖了 OpenClaw 核心及 10 款衍生产品,共发现 **23 个独立安全漏洞**,包括: - 远程代码执行(RCE) - 认证绕过 - 权限提升 - 信息泄露 - 路径穿越 - 服务端请求伪造(SSRF) - 提示词注入(Prompt Injection) 所有漏洞均已上报至 **CNNVD**、**CNVD** 等国家信息安全漏洞库,并由相关厂商与开发者跟进修复。 ### 二、OpenClaw 架构特征与防御失效分析 1. **本地工具层**:负责将大模型的决策转化为对本地资源的实际操作,涉及文件读写、命令行执行、浏览器自动化等。由于直接触及操作系统核心,必须严格校验操作主体身份与权限。 2. **网络连接层**:支持 Agent 与外部世界的双向通信,包括 HTTP、WebSocket、RPC 等。该层需要确保入口合法与出口可控,但实际中存在 SSRF、未授权访问等风险。 3. **决策核心层**:依赖大语言模型对多源信息进行推理,但其非确定性与开放性导致恶意输入可能被用于劫持执行逻辑。 4. **四层边界防御体系**:OpenClaw 的安全防御需构建涵盖认证、网络、执行与控制四个维度的纵深防御体系,但现实中这四层边界高度耦合,一旦某一层被突破,其他边界也可能随之失效。 ### 三、二次开发中的安全债传递 1. **功能优先与“Vibe Coding”**:部分开发者依赖 AI 辅助代码生成,导致安全设计被忽视,留下大量“安全债务”。 2. **版本差异导致漏洞延期修复**:部分衍生产品以二进制形式集成 OpenClaw,无法及时更新至修复版本,使漏洞长期存在。 3. **差异化功能扩大攻击面**:为增强竞争力,部分产品新增了如浏览器自动化、邮件附件处理等功能,但未充分考虑其安全风险,引入了新的漏洞。 ### 四、开源自研的安全挑战 1. **设计范式趋同**:尽管部分产品独立开发,但其底层架构仍与 OpenClaw 相同,导致相同的安全漏洞在不同产品中反复出现。 2. **局部防御机制引入新风险**:为弥补原生漏洞,部分产品引入了新的安全机制,但这些机制在缺乏全局设计的情况下,反而成为新的攻击入口。 3. **代码交互逻辑复杂化**:在缺乏系统性安全视角的情况下,代码重构未能有效阻断原生漏洞的传播,反而在新功能中引入了新的安全问题。 ### 五、总结与建议 - **安全机制应前置**:安全不应作为功能扩展后的附属限制,而应成为产品设计的基石。 - **构建系统级防御体系**:必须从认证接入、网络流转、执行隔离与控制决策四大核心边界入手,贯彻“默认安全”、“最小权限”与“纵深防御”原则。 - **加强生态协同治理**:开发者需在功能迭代中同步推进安全加固,避免漏洞的被动继承与扩散。 - **智能体在安全分析中的价值**:通过 AI 驱动的漏洞挖掘智能体,能够突破传统测试手段的局限,实现对复杂攻击链路的自动化分析与定位。 ## 漏洞类型与分布 | 漏洞类型 | 产品 | 漏洞编号 | 危害程度 | |----------|------|-----------|-----------| | 远程代码执行 | OpenClaw、LobsterAI、AutoClaw、CoPaw、Molili、ZeroClaw | CNNVD-2026-... | 高危/严重 | | 认证绕过 | OpenClaw、WinClaw、Claw1 | CNNVD-2026-... | 高危/中危 | | 权限提升 | OpenClaw、Claw1 | CNNVD-2026-... | 高危 | | 信息泄露 | OpenClaw、ClawX、QClaw | CNNVD-2026-... | 高危/中危 | | 路径穿越 | LobsterAI、Claw3、Claw5 | CNNVD-2026-... | 高危/中危 | | 服务端请求伪造(SSRF) | Claw3、Claw5 | CNNVD-2026-... | 高危 | | 提示词注入 | Nanobot、Claw7 | CNNVD-2026-... | 中危 | ## 图表与示例 - **图 1-1 OpenClaw 生态图概览**:展示了 OpenClaw 的生态结构及衍生产品的分布。 - **图 3-1 OpenClaw 安全报告增长曲线**:反映了 OpenClaw 安全公告数量的快速上升趋势。 - **图 4-1 Claw2 恶意网页操控浏览器原理图**:展示了通过未鉴权 WebSocket 暴露的攻击路径。 - **图 5-1 Claw4 检测请求 IP 相关代码实现**:揭示了对私有地址的检测逻辑存在漏洞。 - **图 5-3 Claw6 Token 值爆破**:展示了认证机制的薄弱点及攻击方式。 - **图 5-5 Claw7 恶意 SKILL 覆盖实现 RCE 流程图**:揭示了局部安全机制未能覆盖全局风险的问题。 ## 结论 OpenClaw 生态的快速发展暴露了其在安全架构设计上的深层次问题。漏洞挖掘智能体的实践表明,当前的生态安全问题不仅限于原生漏洞,还包括二次开发与自研产品中因架构同源性与局部防御机制而产生的新风险。唯有从系统级视角出发,构建完整的防御体系,才能有效应对 AI Agent 系统带来的复杂安全挑战。