OpenClaw安全态势全景

本报告由华中科技大学网络空间安全学院与武汉金银湖实验室联合撰写，相关数据及分析结论基于自研的OpenClaw生态安全监测与分析平台(clawsec.tcode.com.cn)。

近年来，人工智能大模型和智能体平台在各行业广泛应用，推动智能化升级。以OpenClaw为代表的智能体平台依托开放架构和插件生态，支持本地高权限操作和多端扩展，极大提升了自动化和灵活性。但随着平台规模扩大和接口、能力组合日益复杂，权限边界、接口认证、任务链管控和数据安全等风险显著加剧，增加了安全治理难度。本报告梳理了OpenClaw生态的资产分布和主要安全风险，针对突出威胁提出了可行的防护建议，为行业智能体平台构建健康和可持续的安全体系提供参考。

一、OpenClaw及Claw生态发展现状

OpenClaw以本地化部署、自然语言驱动和丰富的技能/插件扩展为核心能力，快速形成了较大的用户基础和活跃的社区生态。用户可以通过 Web 端或即时通讯工具向系统下达指令，实现邮件处理、日程安排、浏览器操作、文件处理和系统命令执行等多种高权限任务。随着Claw生态不断扩大，越来越多第三方插件、技能组件以及物联网集成能力被引入实际应用，推动平台持续演进。下面从核心架构与生态发展两个方面进行简要说明。

OpenClaw核心架构与工作流程

OpenClaw采用模块化、分层式架构，整体上整合了消息通道、本地网关、智能体运行时以及工具和技能插件等模块，形成一个兼具灵活性和自动化能力的智能体系统。下图展示了OpenClaw的核心架构及工作流程。

完整的消息链路是从用户通过Web、IM等渠道发出指令开始，消息先经过适配器做统一格式转换，再进入中心网关进行权限校验与会话判断。之后，智能体运行时会结合历史对话、长期记忆和本地知识，动态组装上下文，并调用本地或云端模型完成推理。如果模型判断需要调用工具或技能，例如文件管理、网页抓取、数据分析或系统操作，则会在本地环境中执行，并将执行结果继续反馈到推理循环中。最终结果通过原消息通道返回给用户，同时相关会话内容和记忆数据写入本地存储。

因此，OpenClaw 的工作流程可以概括为五个关键步骤：消息输入与通道适配、网关鉴权与路由、智能体运行时、工具与技能执行、消息回传与持久化。

Claw生态体系与社区发展

随着智能体技术快速发展，OpenClaw已逐步形成覆盖云端、桌面端、移动端等多场景的生态体系，呈现出产品形态多样、接入能力丰富、应用范围扩大的特点。当前，不同厂商围绕智能体能力推出了适用于复杂对话、企业协作、桌面办公、移动终端和智能家居等不同方向的产品和解决方案，下表梳理了一些代表性的Claw生态产品。

从应用能力看，Claw生态已经覆盖远程办公、社媒运营、编程辅助、资料检索、日常提醒和个性化推荐等多个场景，在提升工作效率、优化交互体验和支持多岗位自动化方面表现突出。同时，围绕OpenClaw的社区也在不断壮大，开发者和用户通过社群、论坛和知识平台持续分享经验、发布技能和交流实践，推动生态保持活跃发展。

二、OpenClaw安全风险态势

OpenClaw在提供强大功能的同时，也带来了全链路安全挑战。由于其涉及多通道接入、跨会话处理、长期记忆、工具联动和插件扩展等复杂机制，一旦安全边界控制不严，风险可能迅速沿整条执行链扩散。下面结合系统工作流程、公开漏洞库、Skill投毒检测，对其安全风险进行系统分析。

OpenClaw系统全链路安全风险分析

下表按照OpenClaw的完整工作流程，对消息输入、网关鉴权、智能体运行、工具调用和结果回传等关键环节的风险进行梳理。OpenClaw安全风险具有全链路渗透、跨环节耦合和持续累积特征。恶意内容可沿消息链路逐步扩散，并在提示注入、工具滥用和记忆投毒等风险叠加下，被放大为数据泄露、执行链劫持甚至控制面失陷等系统性问题。

Github安全公告数据库分析

截止2026年3月12日，官方仓库中包含了258项漏洞记录。就严重性而言，则高危以上漏洞达到75项，占总样本近三成，说明OpenClaw的公开安全问题并非只是低危配置瑕疵，而是已经实质覆盖到控制面、访问边界和执行链核心。

从漏洞类型看，出现频率较高的问题包括授权验证不正确、操作系统命令注入、路径遍历、链接跟随、访问控制不当、SSRF、过滤不完整和资源耗尽等。这样的分布与OpenClaw的产品特点高度一致：它不仅是聊天系统，更是一个可接入消息通道、访问本地与远程资源、调用工具并执行任务的智能体平台，因此漏洞自然集中在授权边界、文件边界、执行边界和外部资源边界。

从生命周期看，漏洞主要集中在工具与技能执行阶段和网关鉴权与路由阶段。前者说明文件、插件、网页和脚本等资源一旦被工具链错误处理，极易演化为命令执行或沙箱突破；后者则表明系统在入口控制、身份认证、权限分配和会话路由方面面临持续压力。

Skills生态后门投毒风险检测

公开研究表明，Skills供应链风险已经不是理论问题，而是OpenClaw生态中的现实威胁。已有研究发现，部分样本存在硬编码密钥、加载不可信第三方内容、运行时动态拉取并执行外部脚本等高风险行为，甚至已有恶意样本被确认涉及凭证窃取、后门安装和数据外传。

本报告对当前公开可获取的Skills进行了系统监测与梳理，构建了覆盖主流技能市场的样本库，共收集Skills样本235,361个。结合公开的Skills投毒情报、技能说明文档、依赖关系、代码特征和行为模式，对样本进行了安全分级评估，共包含恶意Skills 497个。

需要指出的是，部分Skills当前版本可能功能正常，但由于Skills支持持续更新和版本迭代，在后续更新中可能引入新的依赖、远程脚本或执行逻辑，从而在表面功能未明显变化的情况下转化为恶意载体。

三、OpenClaw全球部署资产特征

截至2026年3月12日，通过测绘引擎发现了暴露在公网上的OpenClaw实例共139,497个，活跃实例数量共50,899个。下面将从区域分布、端口分布、时间维度、可探测性等多个角度，系统刻画OpenClaw生态资产的全球部署特征。

区域分布特征

OpenClaw实例已经覆盖全球100个国家和地区，呈现明显的全球化分布趋势。中国大陆和美国是最主要的部署区域，占据了较高比例。除此之外，新加坡、德国、芬兰、英国、法国、日本等国家，以及中国香港地区也存在一定规模的部署。

进一步对国内暴露的58,812个OpenClaw实例进行分析，活跃实例数量为23,259个。相关实例已覆盖30个省份和195个城市，北京、上海、广州等一线城市部署最为集中，显示出 OpenClaw主要分布在云资源和数字产业较发达的地区。

端口分布特征

端口分布显示，83%实例集中使用默认端口18789，这种高度集中虽然降低了运维复杂度，但也让全网节点更容易被批量识别和扫描。一旦相关协议栈或应用层出现漏洞，攻击面会迅速放大。
此外，也有少量实例使用80、443等标准Web端口进行部署，但这些端口本身就是互联网攻击活动的重点目标，因此并不能从根本上解决暴露问题。

时间维度特征

从首次发现时间分布来看，相关实例在2026年2月上旬每日新增2000个以上，2月14日至15日升至约6000个。此后虽有回落，但2月下旬至3月上旬总体呈波动增长态势，3月6日进一步升至约7000个。

截止2026年3月12日，在针对已发现的139,497例暴露实例测试中，被测基础信息端点/health、/healthz（健康检测）、/ready、/readyz（就绪检测）响应占比均约三分之一，反映出相当一部分部署实例在公网环境中直接暴露了服务运行状态与就绪状态信息。对于攻击者而言，这类端点能够显著降低筛选活跃暴露实例的成本，帮助其快速识别出当前仍在线、仍可交互的有效节点。

可探测性与攻击链

通过对已暴露公网的OpenClaw实例进行探查，发现除了健康检测、就绪检测基础信息端点可以成功响应之外，甚至还有核心配置文件如/__openclaw/control-ui-config.json，解析该JSON可轻易获取服务端版本号。测试发现约有36%（50,635例）的暴露实例响应了对该核心JSON访问的请求，其中共有12,867例暴露了版本号，从较低的2026.2.3版本到目前最新的2026.3.11版本均有覆盖。其中境内活跃且存在漏洞版本的暴露实例数量为7,573个。目前OpenClaw官方安全通报已披露了多个不同版本的高危漏洞，攻击者若掌握具体实例版本，即可有针对性选用已知exploit进行漏洞利用和权限提升。部分配置失当或长期未升级的部署，其敏感信息和后门风险尤为突出。

四、OpenClaw安全防护

结合前文对公网暴露、鉴权失效、提示注入、权限滥用、Skills投毒、依赖注入和敏感信息外泄等风险的分析，OpenClaw的安全治理应重点围绕系统组件、智能体运行时、外部交互三个层面展开。

系统组件层：夯实可信运行基础

针对公网暴露、默认配置未收敛、控制面失管和恶意Skills混入等问题，应优先夯实系统基础安全。

• • 收敛暴露面。 核心服务、管理接口和配对入口应优先部署在受控环境中，避免直接暴露公网。
• • 保护关键目录和配置。 对配置文件、认证文件、日志目录、规则文件和Skills安装目录实施最小权限控制，防止本地篡改、配置漂移和凭证泄露。
• • 建立可信扩展准入机制。 对Skills及其他扩展组件的来源、依赖、权限声明和外联行为进行校验，对高风险或来源不明的组件默认禁用。
• • 加强基线与变更管理。 对系统提示词、权限映射、工具白名单和配对配置实施版本留痕、完整性校验和异常告警，防止控制面规则被悄然修改。

智能体运行时：强化任务执行约束

针对提示注入、目标劫持、上下文投毒、权限滥用和工具滥用等问题，应强化运行时约束。

• • 做好任务分级。 对查询类、操作类、配置类、外发类任务进行风险区分，高风险操作默认转人工确认或审批。
• • 限制高危能力默认开放。 对命令执行、脚本运行、文件写入、配置修改和敏感信息读取等能力默认关闭，仅按白名单放开。
• • 防范上下文与记忆污染。 对用户输入、历史消息、检索结果和外部返回内容统一按低可信处理，避免未经清洗直接进入高权限执行链路。
• • 持续监控Skills和工具行为。 不仅审查其是否可信，还要监测其运行时调用、依赖变化、外联请求和结果输出，防止运行中变异、越权调用和隐蔽外传。

外部交互层：收紧跨边界风险入口

针对伪造请求、外部内容注入、远程依赖加载和结果外泄等问题，应加强边界防护。

• • 管住消息入口和配对链路。 对私聊、群聊、Webhook、二维码配对和远程接入统一鉴权，关闭不必要通道。
• • 对外部内容默认不信任。 用户输入、网页文本、检索结果、插件返回值和第三方API响应都应先清洗、分类和判定风险。
• • 限制外部资源和动态依赖。 对远程脚本加载、动态安装依赖和未备案域名访问进行约束，降低供应链注入和远程投毒风险。
• • 加强结果回传审查。 对输出到聊天平台、邮件、Webhook的内容进行脱敏和策略检查，防止本地文件、密钥和内部数据外泄。
• • 补齐交互链路审计。 对消息来源、任务判定、工具调用、外联访问和结果回传做好留痕，提升异常发现和事件追溯能力。

五、总结

OpenClaw代表了智能体平台向高权限、强扩展和深度自动化方向发展的趋势，也因此带来了比传统应用更复杂的安全挑战。其风险不仅体现在模型层面，更集中体现在入口鉴权、权限边界、工具调用、插件供应链、日志与记忆持久化等关键环节。结合公开漏洞、全球资产暴露和Skills生态检测情况可以看到，当前OpenClaw生态已经存在高危漏洞较多、默认暴露普遍、权限控制复杂、记忆和日志易被污染、供应链风险突出等现实问题。面向未来，只有持续加强全流程安全治理，才能保障OpenClaw和行业智能体生态的健康发展。

我们的分析还在持续完善更新中，若您希望开展进一步交流，欢迎邮件联系Security PRIDE团队。

联系邮箱：

haoyuwang@hust.edu.cn，王浩宇，教授

shenaowang@hust.edu.cn，王申奥，博士生

xinyihou@hust.edu.cn，侯心怡，博士生