计算机行业：OpenClaw辨析——再次强调其安全应用

1中 泰 证 券 研 究 所专 业 ｜ 领 先 ｜ 深 度 ｜ 诚 信｜证券研究报告｜2 0 2 6 . 0 3 . 1 8OpenClaw 辨析——再次强调其安全应用分析师：苏仪执业证书编号： S0740520060001分析师：刘一哲执业证书编号：S07405250300012什么是 OpenClaw⚫ OpenClaw 是一款开源、本地优先、可执行任务的 AI 自动化代理引擎，遵循 MIT 协议。它以自然语言指令为驱动，在本地或私有云环境中完成文件操作、流程编排、浏览器自动化、多 IM 平台交互等任务，实现从“对话式建议”到“自动化执行”的跨越。⚫ OpenClaw 的核心能力是什么？与简单的聊天机器人不同，OpenClaw 可以执行真实的任务——读取和写入文件、触发工作流、与消息平台集成等等。OpenClaw 的核心竞争力在于其“主动自动化”能力。这款 AI 智能体无需用户发出明确指令，即可自主清理收件箱、预订服务、管理日历及处理其他事务。同时，它具备强大的记忆功能，能够保存所有对话历史，并从过往的对话片段中精准回调用户的偏好设置。⚫ 为什么说 OpenClaw 被赋予了“上帝模式”的权限架构？OpenClaw 被赋予了极高的系统权限——文件读写、程序执行、网络访问三大系统级权限集于一身，相当于赋予 AI 代理一把电脑的“万能钥匙”。这种高权限设计让 AI 能够自动化处理复杂任务，但同时也意味着一旦被恶意利用，攻击者可以轻松窃取敏感数据、执行危险命令，甚至完全控制系统。例如在暴露面层面，SecurityScorecard统计数据显示，截至 2026 年 3 月 11 日，公网上可被探测到的 OpenClaw 暴露实例累计超 46.9 万个（活跃数量 20.3 万个）。其中，通过版本匹配检测发现，27.2% 的实例存在高危漏洞，面临被利用攻击风险。3近期重大事项——为什么要强调 OpenClaw 安全应用近期重大事项◼国家互联网应急中心 3 月 10 日发布《关于 OpenClaw 安全应用的风险提示》，指出为实现“自主执行任务”的能力，该应用被授予了较高的系统权限，包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口（API）以及安装扩展功能等。但由于其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。◼思科 Talos、Cisco、CrowdStrike、Microsoft、Kaspersky 等顶级安全机构密集发布红色预警，将 OpenClaw 定性为“安全噩梦”(Security Nightmare)。◼2026 年 3 月 11 日，工信部发布关于防范 OpenClaw （“龙虾”）开源智能体安全风险建议。针对“龙虾”典型应用场景下的安全风险，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）组织智能体提供商、漏洞收集平台运营单位、网络安全企业等，研究提出“六要六不要”建议。主要应用场景风险1．智能办公场景主要存在供应链攻击和企业内网渗透的突出风险：1）场景描述：通过在企业内部部署“龙虾”，对接企业已有管理系统，实现智能化数据分析、文档处理、行政管理、财务辅助和知识管理等。2）安全风险：引入异常插件、“技能包”等引发供应链攻击；网络安全风险在内网横向扩散，引发已对接的系统平台、数据库等敏感信息泄露或丢失；缺乏审计和追溯机制情况下易引发合规风险。2．开发运维场景主要存在系统设备敏感信息泄露和被劫持控制的突出风险：1）场景描述：通过企业或个人部署“龙虾”，将自然语言转化为可执行指令，辅助进行代码编写、代码运行、设备巡检、配置备份、系统监控、管理进程等。2）安全风险：非授权执行系统命令，设备遭网络攻击劫持；系统账号和端口信息暴露，遭受外部攻击或口令爆破；网络拓扑、账户口令、API 接口等敏感信息泄露。3．个人助手场景主要存在个人信息被窃和敏感信息泄露的突出风险：1）场景描述：通过个人即时通讯软件等远程接入本地化部署的“龙虾”，提供个人信息管理、日常事务处理、数字资产整理等，并可作为知识学习和生活娱乐助手。2）安全风险：权限过高导致恶意读写、删除任意文件；互联网接入情况下遭受网络攻击入侵；通过提示词注入误执行危险命令，甚至接管智能体；明文存储密钥等导致个人信息泄露或被窃取。4．金融交易场景主要存在引发错误交易甚至账户被接管的突出风险：1）场景描述：通过企业或个人部署“龙虾”，调用金融相关应用接口，进行自动化交易与风险控制，提高量化交易、智能投研及资产组合管理效率，实现市场数据抓取、策略分析、交易指令执行等功能。2）安全风险：记忆投毒导致错误交易，身份认证绕过导致账户被非法接管；引入包含恶意代码的插件导致交易凭证被窃取；极端情况下因缺乏熔断或应急机制，导致智能体失控频繁下单等风险。4OpenClaw 的安全风险分析◼ 启明星辰的报告从模型层、系统层、网络层、配置层、供应链、数据层六大维度，呈现了 OpenClaw 安全的完整风险全景分析。◼ 值得注意的是，这六大风险维度并非相互独立，而是存在复杂的联动关系。例如配置层的公网暴露可能导致网络层攻击更容易发起；供应链中的恶意 Skills 可能被利用来实现系统层和模型层的攻击；而数据层的泄露又可能为其他层级的攻击提供便利。图表：OpenClaw 六大维度安全风险汇总风险层级具体威胁典型案例模型层提示词注入，间接提示词注入，提示词泄露等利用间接提示词注入，通过邮件窃取私钥系统层本地权限滥用、命令注入等邮件自动删除，软件自动删除网络层WebSocket 劫持、Deep-Link 诱导执行、暴力破解、日志污染等ClawJacked 漏洞配置层公网暴露、本地服务接口配置缺陷、无认证访问等Shodan 扫描发现机器裸奔供应链供应链投毒，恶意 Skills 攻击等ClawHub 存在 341 个恶意 Skills数据层API Key 泄露、聊天记录窃取等凭证泄露，隐私泄漏资料来源：启明星辰，中泰证券研究所5OpenClaw 公网暴露现况◼ OpenClaw 实例暴露数量与日俱增，安全隐患不断升级。截至 2026 年 3 月 10 日，全球暴露在公网且无安全防护的 OpenClaw 实例（即“裸奔龙虾”）数量已高达 27.8 万只，其中国内占约 7.5 万例，且这些数字仍在持续增长。◼ 目前，OpenClaw 默认绑定 0.0.0.0:18789 地址并允许所有外部 IP 地址访问，远程访问无需账号认证，API 密钥和聊天记录等敏感信息明文存储，公网暴露比例高达 85%。•许多用户在部署过程中，不小心将控制接口直接暴露在了公网环境下。OpenClaw 默认通过 18789 端口提供控制服务，如果没有设置严格的身份验证，任何网络扫描工具都能轻易锁定它的位置。一旦这些接口被攻击者连接，对方就能直接掌控一个拥有系统最高权限的 AI 代理。原本为你提供便利的工具，瞬间就会变成别人控制你电脑或服务器的跳板。图表：OpenClaw Exposure Watchboard 实时暴露实例统计资料来源：OpenClaw Exposure Watchboard ，中泰证券研究所图表：Censys 展示OpenClaw 实时暴露