OpenClaw是2025年末開源、2026年初在GitHub上爆炸式走紅的本地優先(Local‑First)AI智能體(Agent)與自動化平台,由開發者Peter Steinberger發起,短短數月即累計二十多萬Star,成為GitHub史上增長最快的開源項目之一。它的核心理念是讓大模型從“對話式顧問”變成“真正能在本地動手幹活的數字員工”,通過深度控制操作系統、調用外部工具和在線服務,自動執行複雜任務。
OpenClaw因圖標是紅色龍蝦,被廣泛昵稱為“龍蝦”或“小龍蝦”,同時受到產業界和廣大用戶廣泛關注並積極實踐應用,引發關於“養龍蝦是否安全”的廣泛討論。工業和信息化部網絡安全威脅和漏洞信息共享平台(NVDB)已發布專門預警,提示OpenClaw在不安全部署方式下存在較高安全風險,容易引髮網絡攻擊和信息泄露。
在此背景下,天融信正式發布《OpenClaw運行機制與安全威脅研究》報告,從體系結構與運行機理出發,系統梳理OpenClaw的工作流程、Skill機制與大模型交互特點,並對其已披露漏洞和系統性安全威脅進行分析,為後續防護與治理提供技術依據。
關注“天融信”公眾號
私信回復“OpenClaw研究報告”
即可獲取完整報告
OpenClaw的運行流程
整體來看,OpenClaw以“本地常駐、模塊化擴展、閉環執行”為核心特徵,從消息接入、決策規劃、工具執行到記憶沉澱形成完整鏈路。各模塊分工明確、協同運轉,使其區別於傳統對話式AI,成為能夠長期運行、自主完成複雜任務的通用Agent基礎設施。
- Skill機制與社區生態:OpenClaw將Skills視為擴展Agent能力的核心機制,與其說Skill是一個簡單的“提示詞模板”,不如說它是“帶結構化元數據、能驅動工具和腳本的任務模塊”。
- 默認“完全掌控電腦”的權限模型:OpenClaw的一大特點是“真正能動手幹活”,這在技術上意味着,如果按照常見教程全開工具而不做隔離或限制,就能幾乎實現完整系統訪問——可以讀寫文件系統、執行終端命令、控制瀏覽器、訪問郵件和日曆、調用SSH或雲端API等。
- 本地模型與雲端模型支持:OpenClaw的模型編排層支持接入多種雲端大模型(如OpenAI GPT系列、Anthropic Claude、Google Gemini等)以及本地部署的開源模型(如通過Ollama或本地推理服務運行的Llama系列),用戶可以在配置中選擇首選模型和備選模型,並為不同任務設置不同的模型策略。
OpenClaw面臨的主要安全威脅
依託架構特性與生態現狀,OpenClaw面臨多層級、多維度的安全風險,覆蓋技能供應鏈、部署配置、框架漏洞、模型交互等關鍵環節。這些風險相互疊加,構成了當前智能體落地中最典型的安全挑戰。
- 供應鏈安全:OpenClaw的能力高度依賴外部Skill與遠程MCP工具,這使其天然暴露在供應鏈攻擊面上。如果Skill或MCP工具被植入惡意代碼或惡意提示詞,Agent在毫無察覺的情況下就可能執行攻擊者預置的行為。
- OpenClaw自身安全配置與運維風險:除供應鏈問題外,OpenClaw自身的配置習慣和不安全部署方式也是當前攻擊的重災區。從下載不明來源的安裝腳本,到將管理端口直接暴露在公網,加上Agent的特權運行、明文憑證存儲等等,這些風險為攻擊者敞開了大門。此外,由於Agent與大模型交互的黑盒特性,用戶難以察覺到數據如何被調用和泄露。
- 大量已被披露的框架漏洞:在2026年初集中暴露出一組高危漏洞,其中以CVE‑2026‑25253、CVE‑2026‑24763和CVE-2026-25593為代表,疊加不安全默認配置,構成了極具破壞力的攻擊鏈。
- OpenClaw與大模型交互相關的安全威脅:由於OpenClaw的“決策大腦”依賴大語言模型,其安全性也不可避免地受到LLM相關攻擊面的影響,包括:提示詞注入、記憶投毒、模型幻覺與越權執行等。
OpenClaw安全上崗指南
OpenClaw既是AI Agent生態繁榮的典型代表,也是當前智能體安全風險的集中樣本。其以本地優先、自託管、多渠道集成和Skill插件生態為特徵,讓普通用戶和開發者第一次可以較低門檻地擁有“真正能動手”的個人智能體,這也是其在全球範圍內迅速走紅的原因之一。然而,正是這種深度系統權限與高度可擴展性,使其在多個維度上都呈現出前所未有的攻擊面。
近日,針對“龍蝦”典型應用場景下的安全風險,工業和信息化部網絡安全威脅和漏洞信息共享平台(NVDB)組織智能體提供商、漏洞收集平台運營單位、網絡安全企業等,研究提出“六要六不要”建議。面對全新安全挑戰,天融信從平台加固到使用規範,從模型與數據防護到常態化風險體檢,提供五層安全能力,層層遞進、環環相扣,全面覆蓋OpenClaw全場景風險,幫助企業的“小龍蝦”安全上崗。
在可預見的未來,隨着Skill數量和部署規模的繼續增長,OpenClaw及類似智能體平台將長期處在“能力躍升與安全焦慮並存”的狀態。只有通過規範化的權限管理、嚴格的技能生態治理、持續的漏洞修復與安全審計,以及對大模型交互風險的系統性防範,才能在充分釋放OpenClaw生產力潛能的同時,將由此帶來的安全風險控制在可接受範圍內。
關注“天融信”公眾號
私信回復“OpenClaw研究報告”
即可獲取完整報告
