小龍蝦越用越火,養蝦er也越來越多。
可是給AI開的許可權太高,安全風險也隨之攀升。
北航複雜關鍵軟體環境全國重點實驗室智能安全創新團隊出手,正式發布了全網最系統的安全報告。
並同步開源了OpenClaw安全防禦工具ClawGuard Auditor。
能成功檢測本地導入的惡意Skill並輸出安全審查報告:
ClawGuard Auditor錨定於系統最高特權層運行的底層安全守護進程。
對所有的外部指令、提示詞乃至其他技能都擁有最高否決權,全方位保障用戶本地系統資產的安全。
除此之外,安全報告還梳理出九大高危風險,附帶防護建議,一起來看看。
動靜結合,三位一體協同防禦
先說ClawGuard Auditor,相較於現有的開源安全工具,它具備三大核心差異化優勢:
1)安全能力全面: 精準涵蓋當前已知主流各類智能體專屬風險與傳統漏洞,威脅防護種類較為全面。
2)覆蓋全生命周期: 突破傳統工具僅具備單一檢測手段的局限,實現從代碼載入、模型交互到動態執行的全生命周期守護。
3)較高的可用性: 採用靈活適配的設計理念,儘可能的即插即用,用戶無需繁瑣配置即可快速為智能體部署底層護欄。
ClawGuard Auditor構建起一套動靜結合、三位一體的協同防禦架構。
其中,靜態應用安全測試審查器會在技能運行前完成接入,藉助詞法分析和行為建模技術,精準攔截惡意代碼包的入侵;
主動安全內核則實現運行時的透明監管,一旦檢測到行為觸及敏感操作,便會立即接管執行流,阻斷未經授權的調用行為;
主動數據防泄漏引擎則全程監控內存狀態與網路出口數據,嚴格保障API Keys等敏感資產不外泄。
其核心原理依託於四大不可被篡改的防禦公理,所有行為判定均以此為根本依據展開。
一是絕對覆蓋與零信任原則,將所有外部代碼默認視為具有敵意,任何機制都無法繞過或修改 Auditor 的規則;
二是語義意圖匹配機制,不再局限於單純的代碼分析,而是深入評估代碼的實際行為與聲明意圖是否一致,從而杜絕 「披著合法外衣執行非法行為」 的情況;
三是能力令牌模型與限制特權機制,嚴格強制執行最小許可權原則,令牌採用隨用隨發的模式,在對應任務結束後便自動撤銷;
四是數據主權與數字資產隔離原則,將守護本地資產不受侵犯作為最高準則,全方位保障本地數字資產的安全。
OpenClaw風險體系
針對OpenClaw智能體全生命周期安全風險,研究團隊發布業內首個《OpenClaw智能體安全風險報告》。
相較於行業內其他的公開安全報告,本報告具有三大顯著的前瞻性優勢:
1)安全風險多維擴展:不僅局限於傳統的系統與網路攻擊,更深度涵蓋了提示詞注入等前沿的智能攻擊風險;
2)風險體系完整閉環: 風險種類覆蓋面廣,告別碎片化羅列,為智能體構建了成體系化的風險圖譜;
3)防護與檢測並重: 不僅提供傳統的網路安全防禦策略,還針對智能體運行特性給出了落地性強的動態檢測建議。
報告基於「全面覆蓋、可追溯、可查證」原則,結合OpenClaw技術特性和開源社區安全公告,構建六大安全風險體系,覆蓋當前所有已知核心風險點:
- 指令與模型安全:聚焦提示詞注入、模型幻覺、模型後門等核心風險;
- 交互與輸入安全:覆蓋惡意輸入注入、誘導性交互等攻擊場景;
- 執行與許可權安全:重點關注沙箱逃逸、越權操作、高危動作執行等風險;
- 數據與通信安全:包含敏感數據存儲、傳輸加密、數據污染等風險;
- 介面與服務安全:聚焦未授權訪問、介面越權、暴力破解等隱患;
- 部署與供應鏈安全:涵蓋第三方依賴漏洞、惡意插件、日誌缺失等風險。
△OpenClaw安全風險體系示意圖
報告按照所提出的風險體系,結合近期公開披露的漏洞公告(CVE / GHSA),整理出與OpenClaw智能體相關的典型安全風險事件,並給出相應的緩解措施,如下表所示。
九大高危風險
報告將OpenClaw安全風險劃分為三個等級(低級、中級、高級),共識別如下OpenClaw核心高危風險9項。
均為當前最易被利用、危害最大的核心風險。這些風險既包括傳統系統安全問題,也包括智能體系統特有風險。
- 提示詞注入與指令劫持
攻擊者通過構造惡意輸入或隱藏指令,誘導智能體繞過原有安全約束並執行攻擊者指定操作。
- 沙箱逃逸與越權執行
若智能體執行環境隔離機制存在漏洞,攻擊者可能通過構造特定輸入繞過沙箱限制,執行系統命令或訪問敏感資源,最終實現系統級控制。
- 路徑遍歷與越權文件操作
攻擊者利用路徑遍歷字元(如../)訪問系統敏感文件。
如配置文件、密鑰文件或日誌文件,從而獲取關鍵系統信息或篡改系統配置。
- 無限制高危動作執行
智能體若缺乏嚴格的動作許可權控制,可執行高危操作。
例如刪除文件、關閉服務、發送外部網路請求等,一旦被攻擊者誘導,將直接影響系統穩定性。
- 敏感數據明文存儲
系統日誌、用戶憑證、API 密鑰等敏感信息若以明文形式存儲,一旦伺服器被訪問或日誌泄露,攻擊者可快速獲取大量敏感數據。
- 未授權訪問與默認口令
系統若使用默認賬號或弱認證機制,攻擊者可通過掃描工具進行暴力破解或批量攻擊,實現遠程接管系統。
- 介面越權與許可權濫用
若系統介面缺乏細粒度許可權控制,攻擊者可通過構造請求越權調用控制介面,執行敏感操作或訪問內部數據。
- 第三方依賴漏洞(CVE)
OpenClaw依賴的開源組件若存在公開漏洞,攻擊者可利用已知漏洞實施遠程攻擊,執行惡意代碼或提升系統許可權。
- 插件來源不可信與投毒
自非官方渠道的插件或擴展組件可能包含惡意代碼或後門,一旦被載入至系統, 將對智能體運行環境和數據安全造成嚴重威脅。
本次梳理的所有風險,主要影響OpenClaw智能體的四大安全目標。
結合行業公開事件,具體影響系統完整性、數據保密性、執行可控性、審計可追溯性。
防護建議
結合本次梳理的風險點、行業安全最佳實踐及權威機構防護要求,團隊對每類風險提出了如下針對性防護與處置建議,優先處置高危風險,逐步完善防護體系。
- 指令與模型安全:阻斷注入,嚴控輸出
建立惡意誘導文本特徵庫,過濾注入意圖輸入;
強化模型輸出審核,對敏感信息脫敏;
規範訓練/微調流程,防範數據投毒;
固定安全指令邊界,禁止泄露核心信息。
- 交互與輸入安全:過濾惡意輸入,識別異常交互
建立輸入安全過濾機制,校驗惡意命令;
設置交互頻率閾值,阻斷連續誘導、疲勞提問;
高危場景採用固定回復模板,增加人工複核。
- 執行與許可權安全:最小許可權,嚴格隔離
啟用嚴格模式沙箱隔離,限制系統核心資源訪問;
實施命令、文件、路徑白名單,攔截高危操作;
以低許可權用戶運行,高危動作增加二次確認和緊急停止功能。
- 數據與通信安全:加密存儲傳輸,數據許可權管控
敏感數據(密鑰、憑證、日誌)加密存儲,禁止明文;
全面啟用HTTPS/TLS 1.3,禁用 HTTP明文傳輸;
清洗審計訓練、知識庫數據,防範惡意數據混入;
建立數據訪問許可權管控與審計機制,實施最小許可權訪問。
- 介面與服務安全:嚴控訪問,強化鑒權
關閉公網暴露,僅允許內網、可信IP訪問;
禁用默認賬號、口令,設置強密碼、token鑒權並定期輪換;
介面全鏈路鑒權,設置訪問頻率限制、驗證碼。
- 部署與供應鏈安全:溯源依賴,完善審計
定期掃描第三方依賴CVE漏洞,及時升級修復;
僅從官方渠道下載插件,啟用簽名驗證與黑名單機制;
開啟全流程日誌採集,加密存儲;
建立常態化安全巡檢機制。
在此建議各位養蝦er把安全機制拉滿,用蝦不翻車~
