github地址汉化clash
OpenClaw(前身为 Clawdbot、Moltbot)是 2025 年 11 月上线的开源 AI Agent 框架。该项目被开发者定义为“可真正执行任务的AI”,以惊人速度成为 GitHub 历史上增长最快的现象级项目之一,上线 颗星。在OpenClaw得到爆炸式增长的同时,暴露出的安全问题也较为突出。
OpenClaw为实现上述功能需要获取用户的认证凭证(包括密码和API密钥),浏览器历史和Cookie,以及系统内所有文件和文件夹的访问权限。用户可通过消息触发其操作,OpenClaw会在主机设备上持续运行直至完成任务。
OpenClaw这种深度系统集成模式,虽然在功能层面提供了强大的自动化能力,但在以下层面存在较为突出的安全问题:
1. 漏洞层面:截至2026年3月11日,OpenClaw被披露漏洞数量82个,其中高危漏洞33个、中危漏洞47个、低危漏洞2个;
2. 暴露面层面:SecurityScorecard统计数据显示,截至2026年3月11日,公网上可被探测到的OpenClaw暴露实例累计超46.9万个(活跃数量20.3万个)。其中,通过版本匹配检测发现,27.2%的实例存在高危漏洞,面临被利用攻击风险;
3. 生态层面:OpenClaw官方复盘称,2026年2月24日至3月2日,ClawHub(OpenClaw插件平台)中约20%的插件(Skills)为恶意或可疑插件,ClawHub成为植入恶意代码的重要渠道;
4. 企业内部部署层面:22%的受监控企业发现员工存在私自安装OpenClaw“影子部署”的行为,这类未授权部署绕过企业安全管控,形成了隐蔽的安全风险点;
5. 恶意软件感染层面:已出现针对OpenClaw配置环境的Vidar窃取木马变种。该木马以OpenClaw敏感信息为目标,对其配置文件进行针对性窃取外传。
OpenClaw由奥地利开发者 Peter Steinberger创建,最初是一个人的周末项目,目标是构建一个通过 WhatsApp 消息控制的本地 AI 助手。其项目核心设计理念是:“让 AI 通过你已经在用的聊天 App 跟随你”。OpenClaw与传统 AI 工具不同,它不在浏览器沙盒中运行,而是直接在宿主机操作系统层运行,拥有执行 Shell 命令、读写文件、控制浏览器的权限。
1. 截至2026年3月11日,公网上可被探测到的OpenClaw暴露实例累计超46.9万个(活跃数量20.3万个)github地址汉化clash。其中,通过版本匹配检测发现27.2%的实例存在高危漏洞,面临被利用攻击风险
随着OpenClaw的广泛部署,一系列安全漏洞被陆续发现并分配了漏洞编号,已披露的漏洞情况统计如下:
Control UI模块从URL的query string中读取gatewayUrl参数时,未做任何来源验证,会自动建立WebSocket连接,并将认证Token 包含在握手载荷中发送。由于浏览器不对WebSocket连接执行同源策略(Same-Origin Policy,SOP),攻击者可在恶意网页中注入JavaScript代码,将受害者的认证Token发送至攻击者控制的服务器
在Docker沙箱模式下构造容器内执行命令时,将用户可控的PATH环境变量未经转义直接拼接到shell命令字符串中。攻击者可构造特殊字符串,以OpenClaw进程权限在宿主机上执行任意命令
sshmodeCommand项目中,根路径与SSH目标字符串的解析存在缺陷。攻击者可构造特殊字符串,以OpenClaw进程权限在宿主机上执行任意命令
MEDIA路径解析函数未正确校验文件路径,攻击者可利用绝对路径、用户目录路径或目录穿越序列(如../)读取任意文件,并通过输出MEDIA:/path/to/file将敏感数据外泄至外部会话通道
OpenClaw Gateway的图片处理工具未校验gatewayUrl请求目标URL,攻击者可构造特殊图片URL,使服务器向内网地址或云元数据端点(如AWS EC2的169.254.169.254)发起请求,进而探测内网拓扑或窃取云服务凭据
浏览器上传功能未对文件路径进行有效验证,攻击者可构造包含 ../ 的恶意路径,将文件写入宿主机文件系统的任意位置,通过写入Cron任务、Shell配置文件等方式实现持久化控制
OpenClaw通过读取自身日志文件辅助故障排查,若攻击者将恶意指令写入日志(如通过集成的邮件、Slack消息等渠道),这些指令会被AI Agent读取并视为合法操作指令执行
大量OpenClaw实例在公网暴露是与软件漏洞并行的另一类安全隐患,暴露原因包括以下三个方面因素:
1. 默认配置不安全:OpenClaw默认绑定到0.0.0.0(监听所有网络接口),而非127.0.0.1(仅本地回环);
2. 用户安全意识不足:用户在安装OpenClaw时,在不知情的情况下,将AI代理暴露在互联网上;
OpenClaw的历史默认配置存在多项严重安全缺陷,尽管部分已在新版本修正,但大量仍未更新的旧版本在线实例,依然面临严峻的攻击风险:
部署在 Nginx/Caddy 后方的 OpenClaw,若 trustedProxies 未正确配置,所有来自反向代理的请求都以 127.0.0.1 到达网关,被视为可信本地连接。效果等同于对全互联网开放无认证访问。
影响:任何能访问文件系统的恶意软件(包括 ClawHub 上的恶意技能)均可直接读取全部凭据。
在公开群组中部署OpenClaw,任何群成员均可发送 Prompt 指令,触发工具调用、文件读取和配置变更,无需管理员审批。
Hudson Rock 披露,一名用户的OpenClaw配置目录被 Vidar 变种信息窃取木马窃取,完整的 Agent 操作上下文及所有集成服务凭据被回传。
ClawHub作为OpenClaw的官方公共技能注册中心,其规模在短短数周内经历了爆发式增长:
二月初技能注册表仅有约2,800个技能,2026年2月26日已飙升至超过10,700个,三周内增长约280%。
ClawHub面临的供应链安全风险较为严重。此平台的技能发布门槛极低,仅要求发布者拥有创建超过一周的 GitHub 账户即可完成上传,既无严格的身份核验机制,也未对技能代码开展前置审计,而用户出于对官方市场的天然信任,进一步放大了恶意技能流入生态并被广泛使用的风险。
这种大规模的内容筛选实践揭示了一个令人警醒的现实:在一个开放且无门槛的技能发布平台上,低质量和恶意内容的比例超出了人们想象。
ClawHavoc攻击活动在2026年2月爆发,是对ClawHub平台最大规模的供应链攻击。Koi Security团队在对2,857个技能进行安全审计时发现341个恶意技能中,有335个属于ClawHavoc攻击活动。
攻击者采用了高度伪装的社会工程学策略下发多平台载荷,发布看似合法的技能如solana-wallet-tracker、youtube-summarize-pro等,通过详细的README文档与用户建立可信度,在README文档的“前置条件”部分,以安装依赖为名,要求用户执行恶意的安装命令,下载信息窃取木马。
1. 加密货币用户:111个恶意技能伪装成Solana钱包工具、Phantom钱包工具、钱包追踪器等;
5. 普通用户:51个恶意技能伪装成金融与社交工具、17个伪装成Google Workspace集成工具、15个伪装成Ethereum Gas追踪器、3个伪装成比特币找回工具。
6. 快速扩散:单个上传者发布677个恶意包,此规模攻击模式在传统的开源软件供应链攻击中极为罕见;
7. 恶意.md技能文件:技能可以包含UI不可见的Mermaid markdown恶意指令,由于本地扫描器不扫描该类型文件,实现安全检测绕过;
2. 混淆数据外溢:通过base64、Unicode混淆命令,窃取用户凭证并发送至攻击者服务器;
为应对供应链风险,OpenClaw已与 VirusTotal 合作,对新上传的技能进行恶意代码扫描与 LLM 内容语义分析,并对技能包进行基础结构审查。
一是 ClawHub 作为公开注册的软件市场,缺乏足够人力开展逐包人工审核,自动化检测又难以覆盖所有恶意变种;
三是事后管控缺失。即使恶意技能被发现后从 ClawHub 下架,已安装该技能的用户设备仍会保留并运行恶意程序,难以实现批量清除。
在企业内网中,即使 OpenClaw 未暴露公网,已获得内网访问权限的入侵者或内部恶意人员可以:
3. 以 OpenClaw 作为跳板,访问其已集成的企业内部服务(邮件、Slack、代码仓库),读取明文存储的服务账号凭据,横向扩展至更多系统。
OpenClaw可访问用户文件系统、执行 Shell 命令、调用各类第三方服务凭据,一旦被攻击者控制,会导致用户数字权限泄露。在企业环境中,单个被入侵实例可成为内网横向移动跳板,引发核心数据窃取、关键系统受控等严重安全事件;对个人用户来说,隐私信息存在被窃取的风险。
AI智能体具有巨大的应用潜力和技术价值,但其面临的安全挑战也不容小觑。OpenClaw安全不仅是一个具体项目的问题,更是对整个AI Agent技术发展进程的一项重要警示:在享受自动化便利的同时,需清醒认识潜在风险;在追求技术创新的同时,需同步考虑安全治理。只有通过厂商、技术社区、企业用户、安全机构、研究人员和国家相关部门的共同努力,才能建起一个既能促进创新、又能保障安全的AI生态系统。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。