各國政府在關注：全球如何應對 OpenClaw 安全風險

OpenClaw 的成長非凡。但 18 萬 GitHub 星標和遍布 82 個國家的部署帶來了一個不那麼舒適的現實：專案已成為攻擊目標，各國政府開始關注。

本文涵蓋截至 2026 年 2 月的安全態勢——已發現的漏洞、政府反應、企業禁令，以及新基金會結構對安全治理的潛在影響。

改變對話的漏洞

2026 年 2 月初，研究人員披露了 CVE-2026-25253，一個 CVSS 評分 8.8（高危）的一鍵遠端程式碼執行漏洞。

漏洞存在於 OpenClaw 的 Control UI 中。UI 自動信任作為查詢參數傳入的任何閘道 URL，並開啟包含使用者儲存認證令牌的 WebSocket 連線。攻擊者可以構造一個惡意連結，當已登入的使用者點擊時：

利用門檻極低——只需一個精心構造的 URL，透過電子郵件、聊天或社群媒體發送即可。補丁在 2026 年 1 月 30 日的 v2026.1.29 中發布。未確認有野外利用，但攻擊向量的簡單性引發了警報。

SecurityScorecard 的 STRIKE 團隊進行了全球掃描，發現 82 個國家有 42,900 個 OpenClaw 實例暴露在公共網際網路上。其中 15,200 個可被遠端執行程式碼——意味著它們未打補丁或使用預設設定執行。

換個角度看：15,200 台機器，網際網路上的任何人都可能透過一個 HTTP 請求接管。

另外，Giskard 的研究人員展示了已部署實例中的資料洩露和提示注入漏洞。他們證明精心構造的提示可以在 5 分鐘內從執行中的 OpenClaw 代理提取私鑰、環境變數和其他機密。

最令人擔憂的是：93% 的公開暴露實例存在關鍵認證繞過漏洞。事實證明，預設設定對公網暴露來說不夠安全——文件現在已明確警告這一點。

Bitdefender 的研究團隊分析了 ClawHub（OpenClaw 的公開 skill 登錄處），發現約 4,500 個套件中有約 900 個惡意 skill——佔總數約 20%。

這些惡意 skill 從偽裝成工具的憑證竊取器到提供持久存取的後門不等。有些足夠精密，能通過一般的程式碼審查，使用混淆的 payload，只在安裝後才啟動。

這與 npm、PyPI 和其他套件登錄處的問題如出一轍，但風險更高：OpenClaw skill 通常以系統級權限執行，並能存取訊息帳號、API 金鑰和個人資料。

中國工業和資訊化部（工信部）專門針對 OpenClaw 發布了安全通告，警告企業審查其實例的公網暴露情況。通告建議：

值得注意的是，中國同時在平台層面擁抱了 OpenClaw——阿里雲、騰訊雲、火山引擎和百度都推出了 OpenClaw 託管服務。工信部的警告表明政府同時看到了機遇和風險。

韓國採取了更激進的立場。多家大型科技公司發布了內部禁令：

韓國的反應源於對資料外洩的擔憂——具體來說，一個能存取企業系統的 AI 代理可能透過訊息整合洩露敏感資訊。當你的 AI 助手能讀取 Slack、電子郵件和行事曆，然後透過 WhatsApp 或 Telegram 轉發資訊時，企業間諜的攻擊面急劇擴大。

2026 年 2 月 14 日，OpenClaw 創始人 Peter Steinberger 宣布加入 OpenAI，專案將轉型為由 OpenAI 支持的獨立 501(c)(3) 基金會。

對安全而言，這既帶來希望也帶來疑問：

樂觀的情況：有企業支持的基金會結構可以資助專職安全工程師、建立正式的安全回應團隊、實施 ClawHub 強制審查流程、進行定期安全稽核。這些是個人維護者或志願者社群難以持續的事情。

謹慎的情況：OpenAI 的參與可能產生利益衝突。安全決策是否會純粹基於技術考量，還是商業因素會影響披露的內容和時機？基金會的獨立性將在重大漏洞首次影響 OpenAI 自身利益時受到考驗。

如果你正在執行 OpenClaw，立即採取以下步驟：

OpenClaw 的安全挑戰並非獨有——這是任何開源專案從週末專案到關鍵基礎設施的必經成長之痛。npm 有惡意套件，Docker Hub 有挖礦程式，PyPI 有域名搶注攻擊。

不同的是風險。OpenClaw 代理可以存取訊息帳號、電子郵件、行事曆、智慧家居裝置，甚至企業系統。一個被入侵的 OpenClaw 實例不僅僅是一台被駭的伺服器——而是一個被入侵的數位生活。

基金會轉型是專案構建所需安全基礎設施的最佳機會。這一潛力能否實現，取決於新治理結構是否將安全視為一等要務，而非事後補救。

我們將持續追蹤這一領域，並在有新進展時報導。