OpenClaw 的增长非凡。但 18 万 GitHub 星标和遍布 82 个国家的部署带来了一个不那么舒适的现实:项目已成为攻击目标,各国政府开始关注。
本文涵盖截至 2026 年 2 月的安全态势——已发现的漏洞、政府反应、企业禁令,以及新基金会结构对安全治理的潜在影响。
改变对话的漏洞
2026 年 2 月初,研究人员披露了 CVE-2026-25253,一个 CVSS 评分 8.8(高危)的一键远程代码执行漏洞。
漏洞存在于 OpenClaw 的 Control UI 中。UI 自动信任作为查询参数传入的任何网关 URL,并打开包含用户存储认证令牌的 WebSocket 连接。攻击者可以构造一个恶意链接,当已登录用户点击时:
- 1.将 Control UI 重定向到攻击者控制的网关
- 2.通过 WebSocket 握手窃取认证令牌
- 3.使用窃取的令牌在受害者的 OpenClaw 实例上执行任意命令
利用门槛极低——只需一个精心构造的 URL,通过邮件、聊天或社交媒体发送即可。补丁在 2026 年 1 月 30 日的 v2026.1.29 中发布。未确认有野外利用,但攻击向量的简单性引发了警报。
数字:42,900 个暴露实例
SecurityScorecard 的 STRIKE 团队进行了全球扫描,发现 82 个国家有 42,900 个 OpenClaw 实例暴露在公共互联网上。其中 15,200 个可被远程执行代码——意味着它们未打补丁或使用默认配置运行。
Giskard 的研究人员演示了已部署实例中的数据泄露和提示注入漏洞,在测试中 5 分钟内提取了私钥。最令人担忧的是:93% 的公开暴露实例存在关键认证绕过漏洞。
恶意 Skill 问题
Bitdefender 分析了 ClawHub,发现约 4,500 个包中有约 900 个恶意 skill——占总数约 20%。这些恶意 skill 从伪装成工具的凭证窃取器到提供持久访问的后门不等。
中国的反应:工信部警告
中国工业和信息化部(工信部)专门针对 OpenClaw 发布了安全通告,警告企业审查其实例的公网暴露情况。通告建议:
- •审计所有 OpenClaw 部署的公网暴露
- •实施网络分段隔离 OpenClaw 实例
- •审查已安装 skill 中的已知恶意包
- •更新到最新补丁版本
值得注意的是,中国同时在平台层面拥抱了 OpenClaw——阿里云、腾讯云、火山引擎和百度都推出了 OpenClaw 托管服务。工信部的警告表明政府同时看到了机遇和风险。
韩国的反应:企业禁令
韩国采取了更激进的立场。多家大型科技公司发布了内部禁令:
- •Kakao 宣布限制在工作设备上使用 OpenClaw
- •Naver 完全禁止内部使用 OpenClaw
- •当根市场(Karrot) 完全封锁了 OpenClaw 的访问
韩国的反应源于对数据外泄的担忧——具体来说,一个能访问企业系统的 AI 代理可能通过消息集成泄露敏感信息。
基金会转型对安全的意义
2026 年 2 月 14 日,OpenClaw 创始人 Peter Steinberger 宣布加入 OpenAI,项目将转型为由 OpenAI 支持的独立 501(c)(3) 基金会。
乐观的情况:有企业支持的基金会结构可以资助专职安全工程师、建立正式的安全响应团队、实施 ClawHub 强制审查流程、进行定期安全审计。
谨慎的情况:OpenAI 的参与可能产生利益冲突。安全决策是否会纯粹基于技术考量,还是商业因素会影响披露的内容和时机?
- •有资金支持的全职安全团队和公开披露政策
- •ClawHub skill 的强制代码签名和审查
- •CI/CD 流水线中的自动漏洞扫描
- •有实质奖金的漏洞赏金计划
- •定期第三方安全审计并公布结果
用户现在应该做什么
- 1.**更新**:确保运行 v2026.2.21 或更高版本
- 2.**不要暴露到公网**:使用 VPN 或 SSH 隧道进行远程访问
- 3.**审计 skill**:审查每个已安装的 skill,特别是来自未知作者的
- 4.**启用认证**:不要使用默认凭证运行
- 5.**监控访问日志**:关注异常连接模式
- 6.**网络分段**:将 OpenClaw 实例与敏感系统隔离
更大的图景
OpenClaw 的安全挑战并非独有——这是任何开源项目从周末项目到关键基础设施的必经成长之痛。不同的是赌注:OpenClaw 代理可以访问消息账户、邮件、日历、智能家居设备,甚至企业系统。一个被入侵的 OpenClaw 实例不仅仅是一台被黑的服务器——而是一个被入侵的数字生活。
基金会转型是项目构建所需安全基础设施的最佳机会。这一潜力能否实现,取决于新治理结构是否将安全视为一等要务,而非事后补救。