> **来源:[研报客](https://pc.yanbaoke.cn)** # OpenClaw 运行机制与安全威胁研究总结 ## 核心内容 OpenClaw 是一个开源的本地优先 AI 智能体(Agent)与自动化平台,由开发者 Peter Steinberger 于 2025 年底发起,并在 2026 年初在 GitHub 上迅速走红,成为增长最快的开源项目之一。它通过深度控制操作系统、调用外部工具和在线服务,实现自动化执行复杂任务,被广泛称为“龙虾”或“小龙虾”。 ## 主要观点 - OpenClaw 的核心理念是让大模型从“对话式顾问”变为“真正能在本地动手干活的数字员工”,具备“本地常驻、模块化扩展、闭环执行”等特征。 - 它通过“多通道接入 + 多模型编排 + 技能插件 + 本地记忆”构建一个可长期运行的智能体,区别于传统聊天机器人。 - OpenClaw 支持本地和云端部署,但两种模式都存在显著的安全风险,特别是云端部署可能导致数据出境和隐私泄露。 - OpenClaw 的技能(Skill)机制允许用户扩展 Agent 能力,但同时也成为供应链攻击的潜在载体。 - OpenClaw 与大模型的交互存在“黑盒化”问题,用户难以掌控数据流向和模型决策过程。 ## 关键信息 ### 1. 架构与运行流程 - **渠道适配层**:支持 WhatsApp、Telegram、Slack、Discord 等平台接入。 - **智能决策与模型编排层**:负责会话管理、工具调用决策、多步任务规划。 - **技能与工具层**:通过 Skill 插件和 MCP 工具实现“动手能力”。 - **记忆与状态管理层**:使用 Markdown 文件和向量存储构建双层记忆系统(按天日志 + 长期记忆)。 ### 2. 部署模式 - **本地部署**:支持个人电脑、家庭服务器、NAS 等,数据主权和隐私控制在用户手中。 - **云端部署**:通过 API 网关访问,部署简单但存在数据上传风险。 ### 3. 模型支持 - 支持本地模型(如 Llama)和云端模型(如 GPT、Claude、Gemini)。 - 用户可配置不同任务使用不同模型,推荐采用“混合策略”以减少 Token 成本。 ### 4. 与大模型的 API 交互 - 交互过程高度依赖 HTTP API,每次调用需打包系统提示词、项目上下文、对话历史和记忆片段。 - 由于上下文可能达到数万 Token,社区提出了记忆蒸馏、对话压缩等优化方案。 ### 5. 权限模型 - 默认以较高权限运行,具备执行系统命令、访问文件、调用网络服务的能力。 - 需要实施最小权限原则,防止权限滥用。 ### 6. Skill 机制 - Skill 是扩展 Agent 能力的核心机制,包括描述文件和可选脚本。 - Skill 可执行系统命令,可被用于供应链攻击,如 ClawHavoc 行动注入了上千个恶意 Skill。 - Skill 机制具有“几乎无约束的表达能力”,需要严格的来源控制和代码审计。 ### 7. 安全威胁 - **供应链攻击**:Skill 和 MCP 工具可能携带恶意代码,如窃取凭证、执行远程命令。 - **不安全默认配置**:如端口暴露、Token 权限过大、凭证存储不安全等。 - **提示词注入与“提示走私”**:攻击者通过构造恶意指令诱导模型执行不安全操作。 - **记忆投毒**:攻击者可篡改记忆文件,长期操控 Agent 行为。 - **模型幻觉**:模型可能误判用户意图,执行高危命令。 - **已披露漏洞**:如 CVE-2026-25253、CVE-2026-24763、CVE-2026-25593 等,均属于高危漏洞。 ### 8. 安全建议 - **部署安全配置**: - 避免 root 运行,使用容器或虚拟机隔离。 - 限制监听地址和端口,启用 HTTPS 加密。 - 使用反向代理隐藏服务,实施 IP 访问控制。 - **凭证与密钥安全**: - 避免明文存储,使用 Secrets Manager。 - 定期轮换 API Key,设置 Token 过期时间。 - **Skill 供应链安全**: - 仅允许可信来源安装 Skill,实施代码审计和白名单管理。 - 禁止自动安装和更新,防止供应链攻击。 - **Agent 权限控制**: - 实施最小权限原则,限制文件访问、网络连接和工具调用。 - **Prompt Injection 防护**: - 启用 Prompt 过滤,标记外部数据,防止注入攻击。 - **日志与审计**: - 记录 Agent 操作、Skill 调用、API 调用等行为。 - 接入 SIEM/ELK 等日志分析平台,实现集中审计。 - **漏洞管理**: - 定期更新版本,跟踪安全公告。 - 执行漏洞扫描,确保依赖库安全。 ## 总结 OpenClaw 是一个具有强大自动化能力的 AI 智能体框架,其本地优先、技能生态和多模型支持使其成为 AI Agent 生态的重要组成部分。然而,其高权限和高度可扩展性也带来了多维度的安全风险,包括供应链攻击、不安全默认配置、高危漏洞、提示词注入和记忆投毒等。因此,使用 OpenClaw 需要结合“最小权限、主动防御、持续审计”原则,实施严格的权限管理、技能审核和安全监控,以确保其在释放生产力的同时,将安全风险控制在可接受范围内。