> **来源:[研报客](https://pc.yanbaoke.cn)** # OpenClaw 运行机制与安全威胁研究总结 ## 核心内容 OpenClaw 是一个开源的本地优先 AI 智能体与自动化平台,由 Peter Steinberger 发起,于 2025 年末开源并在 2026 年初在 GitHub 上迅速走红,累计获得二十多万 Star。其目标是构建一个可扩展的通用 Agent 基础设施,让用户能够通过 AI 智能体执行复杂任务,实现“真正能在本地动手干活的数字员工”。 ## 主要观点 - OpenClaw 的核心理念是将大模型从“对话式顾问”转变为“动手干活”的智能体,支持多种渠道接入、多模型编排、技能扩展与本地记忆系统。 - OpenClaw 支持本地与云端部署,但本地部署更注重数据主权与隐私,而云端部署则面临数据上传与隐私泄露风险。 - 由于 OpenClaw 拥有高度系统权限,其安全配置不当可能带来严重的系统安全问题,包括供应链攻击、权限滥用、凭证泄露、端口暴露等。 - OpenClaw 与大模型的交互过程高度“黑盒化”,存在提示词注入、记忆投毒、模型幻觉等安全风险。 - 安全机构已发布相关预警,强调应采用“最小权限、主动防御、持续审计”原则,防范 OpenClaw 的安全风险。 ## 关键信息 ### 架构与运行流程 - **渠道适配层**:支持与 WhatsApp、Telegram、Slack、Discord 等聊天平台对接,用户可在熟悉的工具中与 Agent 交互。 - **智能决策与模型编排层**:负责会话管理、工具调用决策、任务规划,是 Agent 的“大脑”。 - **技能(Skills)与工具层**:通过 Skill 插件和 MCP 工具扩展能力,实现自动化操作、代码执行、文件管理等。 - **记忆与状态管理层**:使用 Markdown 文件与向量存储,构建双层记忆系统,支持长期任务执行与上下文管理。 ### 部署模式 - **本地部署**:支持个人电脑、家庭服务器、NAS 等,数据主权和隐私控制强,但系统加固与安全责任全在用户。 - **云端部署**:通过 API 网关访问,部署简单,但存在数据上传风险。 ### 模型支持 - 支持本地模型(如 Llama 系列)和云端模型(如 GPT、Claude、Gemini)。 - 用户可选择混合策略,平衡隐私与性能。 ### 与大模型交互 - OpenClaw 通过 HTTP API 与大模型交互,每次调用会消耗大量 Token。 - 上下文内容包括系统提示词、项目配置、对话历史、记忆片段等,可能达到数万 Token。 - 社区已出现优化方案,如记忆蒸馏、对话压缩、模型降级等,以减少 Token 消耗。 ### 权限模型 - 默认以高权限运行,可访问系统文件、执行命令、调用外部工具。 - 权限过大可能导致系统被完全接管,需实施最小权限原则与权限控制。 ### Skill 机制 - **定义**:Skill 是带结构化元数据、能驱动工具和脚本的任务模块,可扩展 Agent 能力。 - **特点**:可复用、可执行、可发现与共享,形成类似 npm 的生态。 - **风险**:Skill 可以直接植入恶意代码或命令,成为供应链攻击的载体。 ### 已披露的安全问题 - **CVE-2026-25253**:Token 窃取与 WebSocket 劫持,实现远程代码执行(RCE)。 - **CVE-2026-24763**:Docker 沙箱中 PATH 处理不安全,导致命令注入。 - **CVE-2026-25593**:工具调用 cliPath 参数存在命令注入漏洞。 - **其他问题**:包括 Dashboard 密钥泄露、WAF 配置不当、Skill 供应链风险等。 ### 安全威胁 - **提示词注入与“提示走私”**:攻击者通过网页、邮件、Skill 等渠道注入指令,诱导模型执行不安全操作。 - **记忆投毒**:通过写入恶意记忆,长期操控 Agent 行为,难以彻底修复。 - **模型幻觉**:模型错误理解用户指令,导致误操作,如误删文件、批量发送敏感信息等。 - **凭证泄露**:API Key、数据库密码等敏感信息以明文形式存储,存在泄露风险。 - **端口暴露**:未授权访问 18789 端口,导致攻击者直接控制 Agent。 - **Token 权限过大**:单个 Token 拥有全局管理权限,缺乏过期与限制机制。 ### 安全部署与运维建议 - **系统部署**:使用容器或虚拟机隔离,限制运行用户权限,设置资源限制。 - **网络安全**:限制监听地址,启用 HTTPS,部署 WAF,实施 IP 访问控制。 - **凭证安全**:使用 Secrets Manager,加密存储 API Key,定期轮换密钥。 - **Skill 供应链安全**:限制 Skill 来源,启用白名单,实施代码审计与扫描。 - **Agent 权限控制**:限制工具调用范围,禁用 Shell 执行,限制网络访问。 - **Prompt Injection 防护**:启用 Prompt 过滤,隔离外部数据,限制浏览器访问。 - **日志与审计**:记录操作日志、Skill 执行日志、API 日志,接入 SIEM/ELK 平台。 - **漏洞管理**:定期更新版本、依赖库,执行漏洞扫描,订阅安全公告。 - **安全监控**:监控 Token 消耗、任务执行、网络连接与 Skill 调用频率,建立行为基线。 ## 总结 OpenClaw 是 AI Agent 领域的重要创新,其本地优先与技能生态使其成为用户和开发者青睐的工具。然而,其高度可扩展性与系统权限也带来了诸多安全挑战,包括供应链攻击、不安全默认配置、高危漏洞及与大模型交互带来的新型威胁。因此,用户在部署与使用过程中,必须遵循“最小权限、主动防御、持续审计”原则,实施严格的权限控制、Skill 审核、凭证管理、日志审计与漏洞修复,以确保系统安全。