DigitalOcean：7 OpenClaw Security Challenges to Watch for in 2026

• 原始链接：https://www.digitalocean.com/resources/articles/openclaw-security-challenges
• 来源章节：13. 第三方文章、解读与媒体报道
• 来源小节：无
• 抓取方式：jina:https://r.jina.ai/http://www.digitalocean.com/resources/articles/openclaw-security-challenges
• 抓取时间：2026-04-05 13:47:10
• 状态：ok

中文内容

OpenClaw 不仅仅是另一个聊天机器人包装器。它执行 shell 命令、控制浏览器、管理日历、读取和写入文件，并记住会话中的所有内容。 项目 在您的计算机上本地运行，并通过预构建的集成 连接到 WhatsApp、Telegram、iMessage、Discord、Slack 和十几个其他平台。它充当真正互联的个人助理。因此，人们梦想的 OpenClaw 用例非常广泛。

一位用户展示了 OpenClaw 代理通过监控新闻源并自动执行交易来在 Polymarket 上赚钱。另一个让他们的机器人访问家庭监控摄像头。其他人释放了子代理代表他们申请UpWork自由职业。

但当出现问题时，这种对数字生活的访问会带来真正的后果。事情出了问题。安全研究人员发现，该代理附带严重缺陷，这使得攻击者可以利用单个恶意软件劫持机器链接。与此同时，Moltbook，一个拥有超过 280 万个 AI 代理的 Reddit 风格平台，其数据库完全暴露，因此任何人都可以控制任何 AI 代理平台。

这并不意味着您应该完全避免 OpenClaw。这意味着您应该了解 OpenClaw 的安全挑战，并在启动具有笔记本电脑 root 访问权限的代理之前采取预防措施。在隔离的云环境中运行 OpenClaw 可以帮助消除其中一些风险，例如，DigitalOcean 的 OpenClaw 一键部署 可以立即处理身份验证、防火墙规则和容器隔离，因此您的个人计算机不会受到影响。

要点：

• OpenClaw 是一款开源 AI 代理，可在本地运行，可跨您的消息传递应用程序、文件、浏览器和终端进行深入的系统访问，这正是它的强大之处和风险所在。

• 安全研究人员记录了泄露 API 密钥的暴露实例、窃取 ClawHub 上凭证的恶意技能、一键式远程代码执行漏洞以及影响数百万代理的大规模 Moltbook 数据库泄露。

• 缓解措施包括在隔离环境中运行 OpenClaw、强制执行身份验证、在安装之前审核 ClawHub 技能以及对软件进行修补。

• DigitalOcean 提供安全强化的部署选项，包括一键式 Droplet 和应用程序平台，可将 OpenClaw 与您的个人计算机隔离，并开箱即用应用安全强化的默认设置。

OpenClaw 安全挑战是什么？

OpenClaw 安全挑战归结为设计上的紧张：该工具需要广泛的系统权限才能发挥作用，但当出现问题时，这些权限会产生巨大的攻击面。代理按照设计以您的用户帐户拥有的任何权限运行——完整磁盘、终端和网络访问。

它也是agentic和自我改进的，这意味着它可以修改自己的行为，更新它的记忆，并自主安装新技能。从能力的角度来看，这是令人印象深刻的，但当护栏缺失时，另一个因素可能会导致事情螺旋式上升。再加上跳过身份验证的默认设置、未经审查的技能市场以及存储数周上下文的持久内存，麻烦就会随之而来。要点：谨慎处理，与生产系统隔离，并仔细检查默认设置。

值得赞扬的是，OpenClaw 的创建者 Peter Steinberger 一直公开谈论这些风险，并积极鼓励在沙盒环境 中运行 OpenClaw，该环境隔离 Docker 容器内的工具执行，以在模型行为异常时限制文件系统和进程访问。 DigitalOcean 的一键式部署正是开箱即用的，无需手动设置即可实现隔离。

使用 DigitalOcean 1-Click Deploy Droplet OpenClaw 在云中运行您的 AI 助手，这是一个沙盒环境，可让您的个人笔记本电脑和文件不受干扰，同时为您处理身份验证、防火墙规则和容器隔离。请跟随我们的脚步，了解如何设置 OpenClaw——从启动 Droplet 到在 Telegram 上与您的机器人聊天，再到添加文章摘要等技能。

观看 YouTube 视频

7 个需要注意的 OpenClaw 安全挑战

我们已经看到安全审核发现 512 个漏洞（八个关键漏洞）和恶意 ClawHub 技能 窃取加密货币钱包。这些挑战都不是理论上的。它们都是基于 OpenClaw 推出后几周内已经发生的事件。

如果您正在尝试 OpenClaw，则需要注意以下挑战：

如果您希望从一开始就以正确的方式运行 OpenClaw，请查看如何使用 DigitalOcean 运行 OpenClaw。本教程逐步介绍设置、配置和安全最佳实践。

1。通过WebSocket劫持一键远程执行代码

迄今为止发现的最令人担忧的 OpenClaw 漏洞之一是 CVE-2026-25253，这是 DepthFirst 创始研究员 Mav Levin 于 2026 年 1 月下旬披露的一键式远程代码执行漏洞。该攻击之所以有效，是因为 OpenClaw 的本地服务器没有验证 WebSocket 原始标头，以便您访问的任何网站都可以静默连接到正在运行的代理。攻击者只需要您单击一个链接即可。从那里，他们将跨站点 WebSocket 劫持链接到您计算机上的完整代码执行中。妥协发生在几毫秒内。这是在浏览网页的同一台机器上本地运行代理的核心危险——一次不小心的点击，攻击者就已经在里面了。

Levin 的概念验证表明，访问单个恶意网页足以窃取身份验证令牌并获得对网关 API 的操作员级别访问权限，从而使攻击者能够更改您的配置、读取文件和运行命令。

安全检查：在这种情况下，修复程序已在 版本 2026.1.29 中发布，因此如果您的版本落后，请立即更新。除此之外，最佳实践包括避免在浏览不受信任的站点时运行 OpenClaw，并考虑将代理置于具有适当来源验证的反向代理后面，以提供额外的保护层。

DigitalOcean 的 OpenClaw 一键部署 提供了一个安全强化的 Droplet，具有容器隔离、默认身份验证和锁定的防火墙规则，因此您不仅仅依赖于本地计算机的安全状况。

2。数以万计的不受保护的 OpenClaw 实例在互联网上开放

OpenClaw 的早期默认设置是这样的：代理信任来自本地主机的任何连接，而无需询问密码。这听起来不错，直到网关位于配置错误的反向代理后面 - 此时每个外部请求都转发到 127.0.0.1，并且您的代理认为整个互联网都是受信任的本地用户。 SecurityScorecard 的 STRIKE 团队 发现了超过 30,000 个暴露在互联网上的 OpenClaw 实例。

安全研究员 Jamieson O’Reilly 展示 这会变得多么糟糕。他访问了 Anthropic API 密钥、Telegram 机器人令牌、Slack 帐户以及暴露实例中的完整聊天历史记录，甚至代表用户发送消息并以完全管理员权限运行命令。无需身份验证。

这个问题已经得到解决——现在默认需要网关身份验证，并且入门向导甚至会为本地主机自动生成令牌。

安全检查：至少，检查您的实例是否可以从公共互联网访问。使用 防火墙 限制访问、启用网关令牌身份验证，并且在没有 VPN 或 [SSH] 的情况下切勿暴露控制平面隧道](https://www.digitalocean.com/community/tutorials/ssh-essentials-working-with-ssh-servers-clients-and-keys) 在它前面。在这种情况下，托管云部署可以彻底解决问题，因为您的个人 API 密钥、聊天历史记录和凭据一开始就不位于暴露的本地计算机上。

3。 ClawHub 上的恶意技能正在毒害供应链

ClawHub 是 OpenClaw 的公共技能市场，任何人都可以发布扩展 - 唯一的要求是 GitHub 帐户存在超过一周。不幸的是，这个低门槛已经将市场变成了目标。 Koi Security 审核了 ClawHub 上的所有 2,857 项技能，发现 341 项完全是恶意的。 Bitdefender 的独立扫描使该数字接近 900 个恶意技能，大约占所有软件包的 20%。单个账户“hightower6eu”自行上传了354个恶意包。

攻击很巧妙。您安装了看起来有用的技能，并且文档看起来很专业。但隐藏在“先决条件”部分中，它要求您首先安装一些东西 - 这个东西是 Atomic Stealer (AMOS)，一种 macOS 凭据窃取恶意软件。

安全检查：OpenClaw 自与 VirusTotal 合作 以来扫描新技能上传，但 Steinberger 本人承认这不是灵丹妙药。至少，在安装任何技能之前，请阅读其源代码。检查发布者的帐户年龄和历史记录。简而言之，将每项技能视为在代理的完全权限下运行的不受信任的代码。与某些暴露风险不同，无论 OpenClaw 在何处运行，恶意技能都是一种威胁 - 中毒技能在云服务器上的执行方式与在笔记本电脑上的执行方式相同。

4。明文凭证存储和 API 密钥泄露

不那么迷人但更危险的问题之一是 OpenClaw 如何处理秘密。该平台以明文形式存储凭证——包括您的LLM提供商的API密钥和您的代理连接到的每个消息传递平台的令牌——一旦您以外的任何人都可以访问您的实例，这些就会成为目标。即时注入攻击还可以通过在代理处理的内容中嵌入隐藏指令来欺骗代理窃取凭证。

思科的团队测试了一项名为“埃隆会做什么？”的技能，并发现了九项安全发现，其中两项至关重要。该技能指示机器人执行curl 命令，将数据发送到技能作者控制的外部服务器。从功能上讲，它是隐藏在笑话名称后面的恶意软件。

安全检查：至少，定期轮换 API 密钥并使用环境变量或专用秘密管理器而不是配置文件来存储秘密。对您的 LLM 提供商帐户设置支出限制也是值得的。这样，即使密钥被泄露，也不会产生数千美元的费用。

5。持久内存放大的提示注入攻击

OpenClaw 中的即时注入比典型的聊天机器人更糟糕的原因是持久内存。该代理保留跨会话的长期上下文、偏好和对话历史记录，这是其最佳功能之一。但这也意味着嵌入网站、电子邮件或文档中的恶意指令不必立即执行。 Palo Alto Networks 警告称，这些攻击将成为“有状态、延迟执行的攻击”。您上周二打开的 PDF 中的隐藏提示可能会在代理的记忆中处于休眠状态，直到几天后的未来任务触发它。

安全检查：目前还没有完美的修复提示注入的方法；这是代理人工智能中尚未解决的问题。但是，您可以通过限制代理可以访问的工具和权限、分段其对敏感系统的访问以及定期检查其内存和上下文以发现任何意外情况来减少爆炸半径。

6。影子人工智能通过企业网络传播

这适用于在开发人员修补工作机器的公司工作的任何人。 Token Security 发现，[22% 的企业客户](https://www.token.security/blog/the-clawdbot-enterprise-ai-risk-one-in- Five-have-it-installed) 让员工在未经 IT 批准的情况下运行 OpenClaw 作为影子 AI。 Bitdefender 也证实了这一点，显示员工在连接到内部网络的公司计算机上部署代理。开发人员笔记本电脑上的 OpenClaw 代理可以通过 VPN 访问生产环境，这意味着上述每个漏洞现在都是一个业务问题。

安全检查：如果您在安全团队中，您应该立即扫描网络中是否有 OpenClaw 实例。设置对其 WebSocket 流量模式的检测，并要求任何经批准的使用都在隔离环境（虚拟机或云服务器）中运行，而不是在具有内部访问权限的笔记本电脑上运行。为团队提供经过批准的、隔离的部署路径是领先于影子人工智能的最快方法——当替代方案不是“根本不使用它”时，执行护栏会更容易。

7。 Moltbook 数据库泄露暴露了数百万个代理凭证

安全混乱不仅限于 OpenClaw 本身。 Moltbook 是由 Matt Schlicht 构建的人工智能代理社交网络，遭受了数据库泄露，这是网络安全公司 Wiz 在 2 月初发现的。该数据库的访问控制为零。任何发现它的人都可以查看 150 万个 API 令牌、35,000 个电子邮件地址以及代理之间的私人消息，足以控制平台上的任何代理。中国工业和信息化部发布了关于 OpenClaw 安全风险的正式警告，并引用了此类违规事件。

安全检查：如果您使用了 Moltbook，请轮换与您的代理关联的每个 API 密钥和令牌。像对待任何要求提供凭据的新服务一样，对待 OpenClaw 生态系统中的第三方平台要持怀疑态度，并考虑进行额外的安全检查。

OpenClaw 安全挑战常见问题解答

为什么安全专业人士关注 OpenClaw？

OpenClaw 代理以深层系统权限（终端、文件系统和浏览器控制）运行，并且默认安全性较弱。广泛的权限加上糟糕的开箱即用配置导致 API 密钥泄露、代理被劫持以及恶意技能窃取凭证。

将 OpenClaw 实例暴露给攻击者的最严重的错误配置是什么？

最大的问题似乎是在没有启用身份验证的情况下运行网关，特别是在配置错误的反向代理后面，该反向代理使本地主机信任的连接可以从互联网访问。不更新关键的 RCE 漏洞 (CVE-2026-25253) 是另一回事。在不检查源代码的情况下安装未经审查的 ClawHub 技能跻身前三名。

在专用云服务器上运行 OpenClaw 比在个人笔记本电脑或公司工作站上运行更安全吗？

是的。专用服务器将代理与您的个人文件、浏览器会话和工作凭据隔离。如果出现问题，损坏将仅限于该服务器。 DigitalOcean 的一键部署 和 应用程序平台 选项都包含安全强化功能，否则您需要手动配置。

ClawHub 技能是否被认为可以安全使用？

不，默认情况下不会。研究人员发现数百种恶意技能伪装成合法工具，其中一些安装了窃取凭据的恶意软件。 OpenClaw 现在使用 VirusTotal 扫描新上传的内容，但这并不能捕获所有内容，尤其是使用提示注入有效负载的技能。在安装之前务必阅读技能的源代码，并坚持使用具有良好记录的知名发行商。

个人和安全团队可以采取哪些步骤来强化 OpenClaw 部署？

首先在隔离环境中运行 OpenClaw——虚拟机、容器或云服务器，例如 DigitalOcean Droplet。至少，您应该在网关上启用身份验证，保持软件更新，使用防火墙规则限制网络访问，在安装前审核任何 ClawHub 技能，并定期轮换 API 密钥。对于企业来说，监控网络中是否存在未经授权的 OpenClaw 实例，并将代理视为访问控制策略中的特权用户。

在 DigitalOcean 上部署 OpenClaw 代理

在您的个人笔记本电脑上运行 OpenClaw 意味着代理会继承该计算机上的每个漏洞并引入新的漏洞。专用云服务器并不能完全消除风险，但它可以隔离爆炸半径，并使代理远离您的个人文件和生产凭据。

DigitalOcean 提供了两种为此构建的部署路径。

DigitalOcean 应用平台上的 OpenClaw 专为希望大规模运行多个代理而无需管理基础设施的团队而设计：

• 在单个应用程序平台规范中以声明方式定义多个代理（销售、支持、个人助理）

• 通过 Git 推送更新，实现零停机部署和自动回滚

• 通过透明定价调整已知实例类型的大小来实现可预测的扩展

DigitalOcean 的 OpenClaw 一键部署 起价为 12 美元/月，并从一开始就提供具有安全性的强化服务器：

• 基于容器的隔离使代理执行与主机系统隔离在沙箱中

• 默认情况下，使用每个部署生成的唯一网关令牌强制执行身份验证

• 防火墙规则、非root执行和锁定权限都是开箱即用的配置

→在 DigitalOcean 上开始使用 OpenClaw

本文档中对第三方公司、商标或徽标的任何引用仅供参考，并不暗示与这些第三方有任何隶属关系、赞助或认可。

截至 2026 年 2 月准确的定价和产品信息。