知名Web3安全公司Certik在3月31日发布的一项研究警告称,开源人工智能平台Openclaw正面临“系统性安全边界崩溃”。尽管该框架在GitHub上迅速积累了超过30万颗星,但在短短四个月内却积累了100多个CVE和280份安全公告,研究人员认为这创造了一个“无边界”的攻击面。
核心漏洞:CVE-2026-25253
报告重点指出了关键漏洞CVE-2026-25253,攻击者可以通过诱骗用户点击一个恶意链接,窃取身份验证令牌并完全劫持AI代理的管理控制权。这意味着一旦得手,黑客可以像合法管理员一样操作整个系统。
大量实例暴露于互联网
全球扫描显示,有超过135,000个Openclaw实例暴露在互联网上,分布在82个国家。许多实例默认关闭了身份验证,导致API密钥、聊天记录和敏感凭据以明文形式泄露。报告中还指出,用户共享“技能”的仓库已被恶意软件渗透,数百个扩展捆绑了信息窃取器,专门窃取保存的密码和加密货币钱包数据。
提示注入与恶意指令
攻击者还在电子邮件和网页中隐藏恶意指令。当AI代理处理这些文档时,可以被强制外泄文件或执行未经授权的命令,而用户完全不知情。Penligent的审计负责人表示:“Openclaw成为了一个典型案例,展示了当大型语言模型不再隔离于聊天系统、而是真正在现实环境中运行时会发生什么。它将经典软件缺陷聚合到一个具有高委托权限的运行时中,使得任何单一漏洞的爆炸半径都极其巨大。”
缓解措施与安全建议
针对这些发现,专家呼吁采取“安全优先”的方法。对于开发者,建议从一开始就建立正式威胁模型,强制严格的沙盒隔离,并确保AI生成的子进程只继承低权限、不可变权限。企业用户应使用端点检测与响应(EDR)工具查找网络中的未经授权的Openclaw安装;个人用户建议仅在沙盒环境中运行,不接触生产数据。最关键的是,用户必须升级到2026.1.29或更高版本,以修补已知的远程代码执行(RCE)漏洞。
虽然Openclaw开发者最近与VirusTotal合作对上传的技能进行扫描,但Certik研究人员警告这并非“灵丹妙药”。在平台达到更稳定的安全阶段之前,行业共识是将其视为本质上不可信的软件来处理。

