随着 AI Agent 的兴起,OpenClaw 迅速走红。它能够自动执行任务、访问本地文件、调用 API、甚至控制浏览器或系统工具,因此被不少开发者视为“AI 自动化助手”。然而,近期多起安全事件也让业内开始重新审视其风险。多家安全机构指出,OpenClaw 在权限设计、扩展生态和提示词安全方面都存在明显隐患,如果配置不当,甚至可能导致数据泄露或系统被攻击。
本文结合近期曝光的 OpenClaw 安全事故,分析其主要安全风险,并提供一些可行的防护建议。
近期 OpenClaw 安全事故:AI Agent 被远程利用
2026 年 2 月至 3 月,安全研究机构连续披露多起 OpenClaw 相关漏洞。其中较为严重的一次是 AI Agent 被远程网站利用并接管的漏洞。研究人员发现,通过特定网页内容可以触发 OpenClaw 的本地接口,从而控制 AI Agent 执行操作,甚至访问本地资源。
此外,安全社区还发现:
- OpenClaw 扩展平台 ClawHub 出现大量恶意插件
- 部分插件伪装成自动化工具或加密货币交易助手
- 实际会下载信息窃取程序,窃取浏览器密码、SSH 密钥和 API Token
研究人员统计,在短短几天内就出现 数十个恶意技能插件,部分甚至登上热门推荐。
还有一次引发关注的事件是:某 AI 安全研究员在测试 OpenClaw 时,AI 自动删除了真实邮箱中的邮件,几乎造成严重数据损失,凸显了 Agent 自动执行任务带来的风险。
这些案例说明:AI Agent 一旦拥有系统权限,其安全问题会比普通软件更加复杂。
OpenClaw 的主要安全风险
1、Prompt Injection(提示词注入)
Prompt Injection 是目前 AI Agent 最大的安全问题之一。攻击者可以在网页、邮件或插件中植入隐藏指令,让 AI Agent 执行恶意操作,例如:
- 读取本地文件
- 泄露 API Key
- 执行终端命令
- 下载恶意程序
安全专家指出,OpenClaw 在处理外部内容时容易受到此类攻击,攻击者甚至可以通过网页内容影响 AI 的行为。
2、本地权限过高
OpenClaw 设计理念是“让 AI 接管电脑操作”,因此通常具备较高权限,例如:
- 读取和写入文件
- 执行 shell 命令
- 调用系统工具
- 自动发送 API 请求
如果 AI Agent 被恶意操控,攻击者就相当于获得了用户电脑的部分控制权。
3、恶意插件和扩展生态
OpenClaw 支持技能(Skills)扩展,这虽然提升了生态活力,但也带来了安全风险。安全机构在分析数千个 OpenClaw 插件后发现:
- 数百个插件存在恶意行为
- 部分插件会诱导用户执行终端命令
- 还有插件专门窃取加密钱包或浏览器数据
这些插件如果未经审查就安装,很容易成为攻击入口。
4、凭证与数据泄露
OpenClaw 通常需要接入大量服务,例如:
- OpenAI / API Key
- GitHub Token
- 邮箱或日历账号
- 数据库连接
安全研究指出,一些部署环境会把这些敏感信息以明文形式保存在配置文件中,一旦被窃取,攻击者即可直接使用。
5、AI 自动化误操作
AI Agent 的另一大风险是误操作。与普通软件不同,AI 会根据上下文自主执行任务,如果提示词不够清晰,可能会:
- 删除文件
- 批量发送邮件
- 修改系统配置
真实案例中,AI 自动删除邮箱内容的事件就说明,即使是专业人员也可能因为设置错误导致严重后果。
如何避免 OpenClaw 安全风险
1、限制权限运行
不要让 OpenClaw 直接拥有系统最高权限。建议:
- 使用 Docker 或虚拟机运行
- 限制文件访问目录
- 禁止执行危险 shell 命令
这样即使 AI 被攻击,也能限制损害范围。
2、谨慎安装插件
安装 OpenClaw Skills 时需要注意:
- 只使用可信来源插件
- 查看源码或评论
- 避免运行需要手动执行终端命令的插件
恶意插件是目前最常见的攻击方式之一。
3、保护 API Key 与凭证
建议:
- 使用 环境变量而不是明文配置文件
- 定期更换 API Key
- 设置权限最小化
一旦凭证泄露,攻击者可以直接利用 AI Agent 访问系统。
4、避免 AI 自动执行高风险任务
对于以下操作建议关闭自动执行:
- 删除文件
- 修改系统配置
- 访问数据库
- 自动转账或交易
改为 人工确认机制。
5、定期更新版本
OpenClaw 目前仍处于快速发展阶段,漏洞修复频繁。保持更新可以避免已知漏洞被利用。
总结
OpenClaw 展示了 AI Agent 的巨大潜力,但也暴露出新的安全挑战。由于 AI Agent 可以访问本地数据、执行命令并与外部网络交互,一旦被攻击或配置不当,风险远高于普通软件。目前已出现的安全事件,包括 恶意插件、远程漏洞、Prompt Injection 以及自动化误操作,都说明 AI Agent 生态仍处于早期阶段。
对于普通用户来说,最安全的方式是 在隔离环境中运行、限制权限、谨慎安装插件,并避免将 AI Agent 连接到核心账号或敏感数据。只有在安全策略完善的情况下,OpenClaw 才能真正发挥 AI 自动化的价值。