TL;DR
2026 年 7 月 12 日,盘点 OpenClaw(昵称”小龙虾”)从”生产力神器”到”安全黑洞”的全景转变。过去 4 个月内,OpenClaw 密集暴露 3 个无认证 RCE 高危漏洞(CVE-2026-30741 CVSS 9.8 / CVE-2026-32920 CVSS 9.2 / CVE-2026-25253 CVSS 8.8),国家互联网应急中心(CNCERT) 4 月发布 4 类风险预警(暴露/注入/误操作/插件投毒),公网暴露实例数 4 月底已突破 4 万个。与此同时,OpenClaw v2026.5.28(5/31)与 v2026.6.11 稳定版(7/9 验证)已完成核心修复。本文给出企业 + 个人 6 道防御 Checklist,附 4 类攻击面全景与 5 选型避坑点。
一、今日头条:OpenClaw 安全风险密集爆发
OpenClaw 作为 GitHub Star 超 30 万的开源 AI 智能体(昵称”小龙虾”),凭借”本地优先 + 数据不上云 + 自然语言操控电脑”的设计哲学,在 2026 年 H1 爆红。但”本地”不等于”安全”——过去 4 个月,安全社区密集披露:
| 时间 | 事件 | 来源 |
|---|---|---|
| 2026-03-10 | 国家互联网应急中心(CNCERT) 发布 OpenClaw 安全风险提示 | html5.qq.com 转载 CNCERT 公告 |
| 2026-03-21 | GitHub 钓鱼攻击:伪造”OpenClaw Foundation”群发 CLAW 代币空投,链向 token-claw.xyz | GitHub Issue #49836 + HN 讨论 |
| 2026-03-22 | composio.dev 长文《OpenClaw is a security nightmare dressed up as a daydream》 | HN 391 pts、275 评论 |
| 2026-04-26 | OpenClaw 生态日报:v2026.4.24 修复 Google Meet 插件 + DeepSeek V4 支持 | duanyytop/agents-radar Issue #779 |
| 2026-05-06 | 三大 RCE 高危漏洞完整技术细节披露 | CSDN 2501_94650405 |
| 2026-05-31 | OpenClaw v2026.5.28 发布,强化 Agent 恢复 + 渠道安全 | CSDN weixin_48502062 |
| 2026-06-07 | v2026.6.5-beta.2 发布:QQBot 剥离模型思考、修复 MCP 工具富资源 RCE | GitHub Release v2026.6.5-beta.2 |
| 2026-06-08 | CSDN 长文:OpenClaw 安全风险全面解析 + 公网 4 万暴露 | CSDN toprouter/160366140 |
| 2026-07-09 | OpenClaw v2026.6.11 稳定版通过社区验证 | indev.cn 服务教程 |
| 2026-07-12 | 腾讯云开发者社区《警惕!OpenClaw 安全漏洞正在攻击你的系统》 | cloud.tencent.com/2645333 |
一句话总结:OpenClaw 的爆发增长,超出了社区对安全模型的迭代速度。
二、三大 RCE 高危 CVE 完整技术画像
来自 CSDN 技术分析(5/6),以下三个漏洞均属于”无需强认证 + 无需复杂交互即可利用”的级别,对生产环境威胁极大:
2.1 三大漏洞速览表
| CVE 编号 | 漏洞类型 | CVSS 3.1 | 影响版本 | 核心危害 |
|---|---|---|---|---|
| CVE-2026-30741 | 请求流注入导致远程代码执行 | 9.8(Critical) | v2026.2.6 及更早 | 无认证远程代码执行,完全接管主机 |
| CVE-2026-32920 | 工作区插件自动加载导致命令执行 | 9.2(Critical) | v2026.3.1 及更早 | 恶意插件无校验加载,持久化控制 |
| CVE-2026-25253 | 跨站 WebSocket 劫持导致远程代码执行 | 8.8(High) | v2026.1.2 及更早 | 钓鱼窃取凭证,远程执行任意命令 |
2.2 CVE-2026-30741(CVSS 9.8 — 最高危)
- 漏洞原理:OpenClaw 没有对上游 API 请求做完整性校验,攻击者可构造恶意请求”投毒”请求流,绕过安全限制并注入可执行代码逻辑,诱导 AI 模型生成未授权终端命令,通过 MCP 工具链自动执行。
- 利用门槛:无需身份认证、无需用户交互,可直接远程完全接管主机。
- 影响范围:所有运行 v2026.2.6 及更早版本且对外暴露的服务。
2.3 CVE-2026-32920(CVSS 9.2)
- 漏洞原理:OpenClaw 工作区插件(Skills)加载时缺乏完整性校验,攻击者投递恶意插件后,可绕过安全审核自动加载,实现持久化控制。
- 危害差异:相比 CVE-2026-30741 的”一次性 RCE”,此漏洞允许攻击者长期潜伏——每次启动 Skills 都会自动激活恶意代码。
2.4 CVE-2026-25253(CVSS 8.8)
- 漏洞原理:WebSocket 连接未做来源校验,攻击者通过恶意网页即可窃取 Agent 网关令牌,借此完全接管 Agent。
- 典型场景:用户浏览一个被植入恶意代码的网页 → Agent 的 WebSocket 令牌泄露 → 攻击者远程执行任意命令。
三、国家互联网应急中心(CNCERT)4 类风险预警
CNCERT 在 2026 年 3 月发布的安全提示中,明确列出 OpenClaw 面临的 4 类系统性风险(html5.qq.com 3/10 转载):
3.1 风险预警 A:暴露与泄露
- 典型场景:企业为方便使用将 OpenClaw 网关直接暴露在公网,且未对 API 密钥做加密存储。
- 数据规模:公网暴露实例数 4 月底已突破 4 万个(CSDN 6/8)。
- CNCERT 防护红线:禁止将核心服务直接暴露公网;必须通过防火墙 + VPN 访问控制;API 密钥定期轮换 + 加密存储。
3.2 风险预警 B:权限与注入
- 典型场景:攻击者获取过高权限或构造恶意提示词,可执行未授权操作甚至控制系统。
- CNCERT 防护红线:最小权限原则;高危操作必须人工确认;提示词注入审计日志。
3.3 风险预警 C:误操作
- 典型场景:错误理解用户意图,可能导致删除电子邮件、核心生产数据等不可逆操作。
- CNCERT 防护红线:关键操作二次确认 + 沙箱回滚能力。
3.4 风险预警 D:功能插件(Skills)投毒
- 典型场景:多个 OpenClaw Skills 已被确认为恶意插件或存在潜在安全风险,安装后可执行窃取密钥、部署木马后门等恶意操作,使设备沦为”肉鸡”。
- CNCERT 防护红线:仅安装官方/可信源 Skills;启用 openclaw-credential-manager 等密钥集中管理工具。
四、4 类攻击面全景
| 攻击面 | 攻击手法 | 典型案例 |
|---|---|---|
| 提示词注入(Prompt Injection) | 通过网页/邮件/文档植入隐藏指令 | CVE-2026-30741 借助 MCP 工具链自动执行 |
| 插件沙箱逃逸 | 恶意 Skills 突破沙箱边界执行任意代码 | CVE-2026-32920 持久化潜伏 |
| WebSocket 凭证劫持 | 跨站劫持网关令牌 | CVE-2026-25253 钓鱼网页窃取 |
| 供应链钓鱼 | 伪造”OpenClaw Foundation”空投链接 | token-claw.xyz 钓鱼攻击(2026-03-21) |
其中供应链钓鱼最具迷惑性——攻击者批量抓取 GitHub stargzers/contributors 用户名,针对 OpenClaw 生态开发者精准推送。
五、企业 / 个人 6 道防御 Checklist
5.1 版本升级(最关键)
- ✅ 升级到 v2026.6.11 稳定版(7/9 已通过社区验证),或最低 v2026.5.28
- ✅ 订阅 GitHub Release Watch,收到 CVE 公告 24 小时内评估
- ✅ 关闭低于 v2026.4.24 的版本自动升级(防止 beta 通道被恶意注入)
5.2 网络隔离
- ✅ 禁止将 OpenClaw 网关直接暴露公网(CNCERT 红线)
- ✅ 启用防火墙 + VPN/Zero Trust 访问控制
- ✅ 公网暴露实例数纳入日常巡检(建议监控 < 100)
5.3 凭证管理
- ✅ 安装 openclaw-credential-manager(GPG 加密 API 密钥)
- ✅ API 密钥定期轮换(建议 90 天)
- ✅ 启用 API 模型聚合平台(API key 不进 OpenClaw 配置文件)
5.4 插件治理
- ✅ 仅安装官方/可信源 Skills(CNCERT 红线)
- ✅ Skills 启用前做沙箱试运行 + 行为审计
- ✅ 禁止安装来自 token-claw.xyz 等可疑域名的 Skills
5.5 权限收敛
- ✅ 最小权限原则(每个 Skill 仅授予必要权限)
- ✅ 高危操作(删除文件、执行 Shell、发送邮件)必须人工确认
- ✅ 启用完整操作日志审计(满足金融/政务/医疗合规要求)
5.6 应急响应
- ✅ 制定 OpenClaw 失陷应急预案(断网 → 凭证轮换 → 版本回滚)
- ✅ 订阅 CNCERT/CVE 公告
- ✅ 每季度做一次红蓝对抗演练
六、5 个避坑选型点(给正在评估 OpenClaw 的企业)
| 避坑点 | 错误做法 | 正确做法 |
|---|---|---|
| 部署位置 | 直接放公网 IP | 内部 VPN + 反向代理 |
| API 密钥存储 | 明文写在 config.yaml | 加密 + 定期轮换 |
| Skills 来源 | 随便搜 GitHub 安装 | 仅用 clawhub 官方/可信源 |
| 权限模型 | 默认全权限 | 最小权限 + 二次确认 |
| 升级策略 | 永远不升级 | 跟随稳定版(每月 1 次) |
七、常见问题 FAQ
Q1:OpenClaw 现在还能用吗?是不是该停用? A:不需要停用,但必须升级到 v2026.6.11 稳定版,并完成本文 6 道 Checklist。OpenClaw v2026.5.28+ 已修复三大 RCE 高危 CVE,v2026.6.11 是当前社区验证最稳的版本。
Q2:本地部署就一定安全吗? A:不一定。本地部署解决了”数据不上云”问题,但不解决”公网暴露 + 插件投毒 + 提示词注入”问题。CNCERT 4 类风险预警中,3 类与本地部署无关——攻击面在 Agent 网关、Skills 加载、WebSocket 连接。
Q3:CVE-2026-30741 影响我的版本吗?怎么查?
A:在 OpenClaw 命令行运行 openclaw --version。v2026.2.6 及更早全部受影响,建议立即升级到 v2026.6.11。
Q4:openclaw-credential-manager 是什么? A:官方/社区开源的凭证集中管理工具,用 GPG 加密存储所有 API 密钥,避免明文泄露。属于”基础设施级”防御工具,强烈建议所有生产环境部署。
Q5:token-claw.xyz 是真的吗? A:是钓鱼网站。2026-03-21 攻击者伪造”OpenClaw Foundation”群发 CLAW 代币空投,链接指向 token-claw.xyz 钱包连接页面。请勿连接钱包,谨防资产被盗。
八、关键术语
- OpenClaw:开源本地 AI 智能体框架,昵称”小龙虾”,GitHub Star 30 万+
- CNCERT:国家互联网应急中心,负责中国互联网网络安全应急协调
- RCE(Remote Code Execution):远程代码执行漏洞,攻击者可在目标系统执行任意命令
- CVSS(Common Vulnerability Scoring System):通用漏洞评分系统,0-10 分,分数越高越危险
- Skills(插件):OpenClaw 的扩展模块,可执行特定任务(需谨慎安装)
- MCP(Model Context Protocol):OpenClaw 调用的工具链协议
- WebSocket 劫持:通过未校验的 WebSocket 连接窃取凭证的攻击手法
- Skills 投毒:在第三方 Skills 中植入恶意代码的攻击方式
九、参考资料
- 国家互联网应急中心(CNCERT)OpenClaw 安全风险提示,2026-03-10,html5.qq.com
- composio.dev 长文《OpenClaw is a security nightmare dressed up as a daydream》,2026-03-22,HN 391 pts
- GitHub Issue #49836(token-claw.xyz 钓鱼攻击),2026-03-21
- OpenClaw 生态日报 2026-W13 / 2026-04-26,duanyytop/agents-radar Issue #779
- OpenClaw 三大高危 RCE 漏洞全解析,CSDN 2501_94650405,2026-05-06
- openclaw v2026.5.28 发布说明,CSDN weixin_48502062,2026-05-31
- Release openclaw 2026.6.5-beta.2,GitHub openclaw/openclaw,2026-06-07
- OpenClaw 安全风险全面解析,CSDN toprouter/160366140,2026-06-08
- OpenClaw v2026.6.11 稳定版(社区验证),indev.cn 服务教程,2026-07-09
- 警惕!OpenClaw 安全漏洞正在攻击你的系统,cloud.tencent.com/2645333,2026-07-12