OpenClaw是2025年末开源、2026年初在GitHub上爆炸式走红的本地优先(Local‑First)AI智能体(Agent)与自动化平台,由开发者Peter Steinberger发起,短短数月即累计二十多万Star,成为GitHub史上增长最快的开源项目之一。它的核心理念是让大模型从“对话式顾问”变成“真正能在本地动手干活的数字员工”,通过深度控制操作系统、调用外部工具和在线服务,自动执行复杂任务。
OpenClaw因图标是红色龙虾,被广泛昵称为“龙虾”或“小龙虾”,同时受到产业界和广大用户广泛关注并积极实践应用,引发关于“养龙虾是否安全”的广泛讨论。工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)已发布专门预警,提示OpenClaw在不安全部署方式下存在较高安全风险,容易引发网络攻击和信息泄露。
在此背景下,天融信正式发布《OpenClaw运行机制与安全威胁研究》报告,从体系结构与运行机理出发,系统梳理OpenClaw的工作流程、Skill机制与大模型交互特点,并对其已披露漏洞和系统性安全威胁进行分析,为后续防护与治理提供技术依据。
关注“天融信”公众号
私信回复“OpenClaw研究报告”
即可获取完整报告
OpenClaw的运行流程
整体来看,OpenClaw以“本地常驻、模块化扩展、闭环执行”为核心特征,从消息接入、决策规划、工具执行到记忆沉淀形成完整链路。各模块分工明确、协同运转,使其区别于传统对话式AI,成为能够长期运行、自主完成复杂任务的通用Agent基础设施。
- Skill机制与社区生态:OpenClaw将Skills视为扩展Agent能力的核心机制,与其说Skill是一个简单的“提示词模板”,不如说它是“带结构化元数据、能驱动工具和脚本的任务模块”。
- 默认“完全掌控电脑”的权限模型:OpenClaw的一大特点是“真正能动手干活”,这在技术上意味着,如果按照常见教程全开工具而不做隔离或限制,就能几乎实现完整系统访问——可以读写文件系统、执行终端命令、控制浏览器、访问邮件和日历、调用SSH或云端API等。
- 本地模型与云端模型支持:OpenClaw的模型编排层支持接入多种云端大模型(如OpenAI GPT系列、Anthropic Claude、Google Gemini等)以及本地部署的开源模型(如通过Ollama或本地推理服务运行的Llama系列),用户可以在配置中选择首选模型和备选模型,并为不同任务设置不同的模型策略。
OpenClaw面临的主要安全威胁
依托架构特性与生态现状,OpenClaw面临多层级、多维度的安全风险,覆盖技能供应链、部署配置、框架漏洞、模型交互等关键环节。这些风险相互叠加,构成了当前智能体落地中最典型的安全挑战。
- 供应链安全:OpenClaw的能力高度依赖外部Skill与远程MCP工具,这使其天然暴露在供应链攻击面上。如果Skill或MCP工具被植入恶意代码或恶意提示词,Agent在毫无察觉的情况下就可能执行攻击者预置的行为。
- OpenClaw自身安全配置与运维风险:除供应链问题外,OpenClaw自身的配置习惯和不安全部署方式也是当前攻击的重灾区。从下载不明来源的安装脚本,到将管理端口直接暴露在公网,加上Agent的特权运行、明文凭证存储等等,这些风险为攻击者敞开了大门。此外,由于Agent与大模型交互的黑盒特性,用户难以察觉到数据如何被调用和泄露。
- 大量已被披露的框架漏洞:在2026年初集中暴露出一组高危漏洞,其中以CVE‑2026‑25253、CVE‑2026‑24763和CVE-2026-25593为代表,叠加不安全默认配置,构成了极具破坏力的攻击链。
- OpenClaw与大模型交互相关的安全威胁:由于OpenClaw的“决策大脑”依赖大语言模型,其安全性也不可避免地受到LLM相关攻击面的影响,包括:提示词注入、记忆投毒、模型幻觉与越权执行等。
OpenClaw安全上岗指南
OpenClaw既是AI Agent生态繁荣的典型代表,也是当前智能体安全风险的集中样本。其以本地优先、自托管、多渠道集成和Skill插件生态为特征,让普通用户和开发者第一次可以较低门槛地拥有“真正能动手”的个人智能体,这也是其在全球范围内迅速走红的原因之一。然而,正是这种深度系统权限与高度可扩展性,使其在多个维度上都呈现出前所未有的攻击面。
近日,针对“龙虾”典型应用场景下的安全风险,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)组织智能体提供商、漏洞收集平台运营单位、网络安全企业等,研究提出“六要六不要”建议。面对全新安全挑战,天融信从平台加固到使用规范,从模型与数据防护到常态化风险体检,提供五层安全能力,层层递进、环环相扣,全面覆盖OpenClaw全场景风险,帮助企业的“小龙虾”安全上岗。
在可预见的未来,随着Skill数量和部署规模的继续增长,OpenClaw及类似智能体平台将长期处在“能力跃升与安全焦虑并存”的状态。只有通过规范化的权限管理、严格的技能生态治理、持续的漏洞修复与安全审计,以及对大模型交互风险的系统性防范,才能在充分释放OpenClaw生产力潜能的同时,将由此带来的安全风险控制在可接受范围内。
关注“天融信”公众号
私信回复“OpenClaw研究报告”
即可获取完整报告
