OpenClaw爆火背后的"夺命坑":小白入坑前必看的保姆级劝退指南
先别急着装OpenClaw,先看完这份保姆级风险排查清单,
OpenClaw在今年年初突然就火起来了,GitHub上的星标数量突破了几十万,各种自媒体都在吹它有多厉害、有多好用, 但要是你真打算上手,我劝你先花3分钟,把这篇文章看完。
我研究这个工具有大半个月了,扒了十几份安全研究报告,发现这个东西的坑比功能还多, Gartner直接给出评价说它的风险不能接受,Cisco的安全研究员表示它从功能方面看是突破性的,但从安全方面看是噩梦。
(ps:我只知道肯定有人说这些漏洞已经被修复了,但是还有其他没有发现的呢?当然我们不能用静态观点评价这个,但是至少目前它不适合大部分普通人)
01、先讲讲第一个坑,提示词注入
当你用OpenClaw处理邮件或者文件的时候, 要是里面有恶意指令,那么AI就很有可能被控制,根据ZeroLeaks的测试数据,针对没有防护的实例,91.3%的注入攻击都可以成功,也就是说,你收到一封看起来挺正常的邮件,打开让AI帮你处理,结果里面藏着的隐藏指令就让AI把你的密码文件发给攻击者了。
更可怕的是间接注入
攻击者把恶意指令藏在网页、文件或者社交媒体帖子里, 你让AI帮你分析这些内容,在84.6%的情况下攻击者能直接获取你的系统配置信息。
02、第二个陷阱就是恶意插件
OpenClaw有一个官方的技能市场,叫做ClawHub,听起来正规,可实际上它的上传门槛低得超出想象,在今年2月,发生了一起叫做ClawHavoc的事件,这些恶意技能伪装成各种各样的实用工具,而实际功能是盗取你的API密钥等信息。有些甚至直接往你的电脑里安装后门程序,
最离谱的是,被删除的恶意技能中有34%换了个名字又重新上架了。
03、第三个坑,就是本地网关被劫持
一个CVE编号为2026-25253的高危漏洞, 叫做ClawJacked,
OpenClaw的网关服务运行在本地的18789端口,而且有密码保护
可是问题在于, 它对于本地连接没有设置请求频率限制,也不记录失败了登录尝试,
攻击者在恶意网站放置一段JavaScript代码,你只要访问, 代码就开始暴力破解你本地OpenClaw密码。
在测试当中,平均98秒就能完成破解,有的时候仅仅要几百毫秒
破解成功之后会是什么样?
攻击者会自己注册成你的可信设备,随后读你的邮件、Slack消息,执行系统命令, 把你所有连接的服务的凭证都偷走,而整个过程你压根不会发现。
安全研究人员扫描发现,有4万多个OpenClaw实例暴露在公网上,其中,93%存在关键的认证绕过问题,
如果你非要用OpenClaw,那么需要多注意以下几点:
第一, 马上更新到2026.2.25或者更新版本,旧版本的漏洞是公开的。
第二,别从ClawHub下载任何第三方技能,只用官方维护的核心功能
第三,不要让OpenClaw去处理来源不明的内容, 邮件文档网页什么的都算,
第四,把它运行在隔离的虚拟机或者容器里,不要给它有访问你主系统的权限
我建议普通人在等等,等生态和系统成熟以后在去尝试。
原创作者:熊叔的茅草屋(熊叔)
声明:本文内容95%左右为人工手写原创,少部分借助AI辅助,
部分内容参考 Conten-Any AI检测、同质化检测数据和润色优化
但是所有的内容都是本人经过严格审核和核对的。
