2026 年初,OpenClaw 在短短数周内狂揽超 30 万 Stars,迅速登顶 GitHub 开源榜首。越来越多的国内企业也很快跟进小龙虾快速部署,让更多用户第一时间感受到了这位"不用睡觉的 AI 助理"带来的效率飞跃。
但便利之外,关于安全性的担心也随之而来:无论是频频出现的OpenClaw漏洞与隐私风险案例,还是近期发布各种有关OpenClaw的安全预警,都在提醒我们——它是一个高权限、可执行、插件生态丰富的超级Agent,一旦出问题,影响范围可能远超传统 ChatBot。
为了让大家更安心、也更放手地探索 OpenClaw 的强大能力,朱雀实验室会在本文中快速梳理它背后的核心风险点,并正式介绍我们联合腾讯云EdgeOne推出的「OpenClaw 安全体检」功能——无需折腾复杂配置,只要一句话,就能让 AI 助理自动完成全面体检与 Skill 风险的前置评估,帮助大家用得更放心、更高效。
欢迎大家访问 https://matrix.tencent.com/clawscan/,并在你的小龙虾中体验。
一、把事交给它之前:先看懂 OpenClaw 的安全边界
OpenClaw 火得快,原因也很简单:它不只会聊,还能替你做事——跑在本机或云上,接入各类即时通讯工具,借助 Skill 直接操作文件、命令、邮件和浏览器。你给一句话,它就能拆解步骤并执行,这就是效率跃迁的来源。
也正因为"能执行",它的安全问题不再是"回答对不对",而是"会不会动到不该动的东西"。理解 OpenClaw 的安全边界,可以记住三个关键词:
(1) 权限:它能动什么
你给了哪些文件/账号/系统/网络权限,就决定它能触达哪些资源,权限越大潜在风险越高。
(2) 技能:它怎么动
Skill 决定执行路径。同一句"整理邮件",不同 Skill 可能触发完全不同的动作链;安装的外部Skill 越多,复杂任务的执行链路越长,也越难一眼看清问题。
(3) 输入:它为什么会这么动
除了你直接发给 OpenClaw 的文本是指令,网页、文档、群消息等外部内容有时也会夹带诱导信息或隐藏指令,影响它的判断与下一步动作。
看到这你就能明白:很多风险不是你主动"交出秘密",而是发生在 OpenClaw 的输入->思考->执行的链路里——被内容诱导、被高权限 Skill 放大误操作,或被黑客用漏洞攻击导致服务器沦陷,最终带来敏感信息暴露、误删误发等问题。
二、更安全地用 OpenClaw:了解四类最常见的风险点
了解完安全边界,接下来看看有哪些"最容易踩的坑"。OpenClaw 的当前阶段的风险点高度集中,我们把它归成三类,按优先级帮你快速过一遍。
1. 配置风险:公网暴露与访问控制缺失是最常见的坑
很多用户在云上部署 OpenClaw 时,图方便直接去掉了本地访问限制,将其外网端口暴露在了公网云服务上。根据外部数据的统计,全球有超过 46万个 OpenClaw 实例完全暴露在黑客的视野中。由于黑客使用 AI 调用工具发起扫描与攻击效率极高,一个全新的 OpenClaw 服务在公网上线几分钟内就会遭到疯狂敲门与探测。
通过朱雀实验室的进一步统计,国内互联网中暴露的 OpenClaw 服务器IP已超过了 12 万个。即便 OpenClaw 默认启用 Token 认证,公网暴露依然会显著增加被探测和被 0day 漏洞攻击利用的概率。更稳妥的做法是:收敛暴露面(白名单/网关/内网访问),并按照官方建议配置好各种安全策略,把风险挡在入口处。
2. Skill 风险:恶意Skill与记忆污染需要重点关注
OpenClaw 的生态繁荣离不开 Skill,但 Skill 的本质是"把外部指令与脚本权限引入你的 Agent"。这会带来两类典型的风险:
(1) 恶意 Skill / 后门指令与检测绕过:
OpenClaw 官方有一个名为 ClawHub 的技能市场,任何开发者都可以上传技能安装包并分发给用户安装。在Snyk安全团队之前发布的一份名为 ToxicSkills 的研究报告显示,他们扫描了4000多个技能,发现 高达36%的Skill存在后门指令、恶意代码、凭证泄露等安全缺陷。
例如在上图的yahoo-finance的技能描述中,攻击者把其伪装成了一个查询金融市场数据的Skill,实际上用户一旦安装就会下载运行后门木马。即使近期 ClawHub 已接入了VirusTotal的病毒扫描与官方审计,攻击者能通过编码混淆、延迟加载与植入脚本漏洞等对抗手法绕过检测。更现实的是:大量 Skill 来自 GitHub、第三方市场、群文件,急需一套统一的安检流程。
(2) 记忆污染:
OpenClaw 的记忆机制本意是让它越用越顺手,但在某些场景下也会变成"被长期带偏"的入口。风险不在于它看到了外部内容,而在于这些内容可能改变它之后做事的规则。例如恶意 Skill 可以把特定指令、偏置策略或"固定做法"写进长期记忆/配置里;此外攻击者还会在网页、文档、群消息里夹带隐藏指令或诱导内容(间接提示注入),当 OpenClaw 用 Web 浏览/总结类 Skill 处理这些内容时,被引导去"记住某条规则""以后遇到某类任务就这么做"。
记忆污染相关的风险最难的点在于隐蔽和持久:它不像一次性漏洞那样立刻爆炸,而是悄悄改变行为习惯。要降低这类风险,关键是把安全检测前置到"装 Skill / 读外部内容 / 写入记忆"这些环节,并在发现可疑规则写入或异常偏置时及时提示与阻断。
3. 版本与漏洞:及时升级和定期体检能显著降低风险
像 OpenClaw 这类复杂的 Agent 项目,底层依赖的组件很多——例如 Web 解析、通信与认证框架、序列化库等等。它们一旦出现漏洞,风险往往不在业务配置层面,而是在"组件本身有没有中招、版本有没有跟上"。这也是为什么仅靠网络隔离或权限收敛还不够,版本管理同样关键。
以社区在 2026 年 2 月披露的一起 OpenClaw 高危漏洞为例(CVE-2026-25253):该问题出在底层通信机制上,可能被利用来触发远程接管等严重后果。
我们在持续监测 OpenClaw 及其依赖链的安全动态时,已累计跟踪到200多个与其相关的公开漏洞与风险通告,并同步到 A.I.G 的 AI 基础设施漏洞库,用于风险扫描与预警。
此外,我们还发现并协助 OpenClaw 修复了 3 个底层安全漏洞,如上图为CVE-2026-27007,获得了 OpenClaw 项目官方的公开致谢,未来还会继续深挖各种 AI 供应链组件风险,提升漏洞预警能力。目前我们监测到的 OpenClaw 漏洞数量仍在快速增长中,建议用户定期更新以确保安全。
4、隐私数据泄露与误操作:权限透明是关键
很多用户在给配置OpenClaw的权限,以及安装 Skill 时并不了解它请求/实际使用的权限边界,而当前的 OpenClaw 在长上下文、多任务、异常输入的情况下可能发生安全红线遗忘,例如忘记最初约束、批量误删与错误泄露到外网。
例如Meta超级智能实验室的安全总监就分享了她在使用openclaw整理邮件时被错误清空邮箱的案例。因此,用户给OpenClaw及其Skill 的授权的"权限透明"非常关键——让用户清楚它能做什么、可能带来哪些高危操作,并在关键动作(批量删除、外发、执行命令等)前给予明确提示,能显著降低误操作与泄露风险。
三、Agent 时代的原生安全:让体检也能"一句话触发"
面对上述三大安全威胁,如果按照传统的思路,可能需要持续去扫描 OpenClaw 服务是否做好了认证与隔离、逐行审查每一个 Skill 的源码是否有后门、还要时刻盯着漏洞库来判断是否要做补丁更新。
这对一个主打"自动化解放双手"的 Agent 来说过于反直觉:既然 Agent 是会执行的,就应该让安全也能被一句话驱动,并且让安全能力更贴合 Agent 的工作方式。
因此,腾讯朱雀实验室联合腾讯云EdgeOne 推出了面向 OpenClaw 等智能体的 "一键安全体检": 不再给用户一张面向人类的加固清单,而把朱雀的开源一站式AI安全风险检测平台 A.I.G 的各种AI安全检测能力浓缩成了一个最轻量级的技能包——EdgeOneClawScan嵌入到 OpenClaw 的生命周期里。
1. 一句话启动体检:对话即入口
现在,你不需要敲击复杂的部署代码,只需在与 OpenClaw 的聊天对话框中发送一句话,即可启动安全体检。
"安装 edgeone-clawscan skill ( https://clawhub.ai/aigsec/edgeone-clawscan ),并进行安全体检。"
(提示:如果遇到 Clawhub 限流或其它问题无法安装,建议使用:“拉取
https://matrix.tencent.com/clawscan/skill.md ,并安装 edgeone-clawscan skill,然后开始安全体检。”)
就这么简单。收到指令后,你的专属“龙虾”就会自动完成一次全面的安全体检:
查配置: 分析 OpenClaw 当前的配置项是否存在公网暴露与未授权访问等安全隐患。
审技能: 深度检测已安装的 Skill 中是否夹带恶意指令与后门木马。
扫漏洞: 扫描当前运行环境与版本,确认是否存在未修复的致命 CVE 漏洞。
防泄露:评估 OpenClaw 是否拥有相册与文件等隐私文件访问权限;
出报告: 直接在对话框中输出一目了然的安全检测报告。
最终,它会用你完全能看懂的自然语言输出一份风险报告——哪个技能在试图"偷看"你的密钥与敏感文件,哪个不安全配置开放的端口存在被黑客攻击的可能,你现在安装的版本有多少个严重漏洞需要关注与更新补丁,一目了然。
你还可以让 OpenClaw 参考 A.I.G 的建议,一键自动完成风险修复与加固。
2. 持续守护:把 A.I.G 设为OpenClaw安全管家
一次性体检只能解决"今天"的问题,而 Agent 的风险来自"每一天的变化":你会装新 Skill、开新权限、访问新网页、引入新依赖。黑客也在 7×24 小时自动化试探。因此我们支持把 A.I.G 作为"隐形安全管家"常驻到 OpenClaw 的工作流里:
💡 “以后每次安装新的 Skill 之前,都必须先用 edgeone-clawscan 进行安全风险扫描。”
你可以通过一条简单的对话指令,让 A.I.G 成为你的常驻安全管家。
未来,无论你是通过命令行还是对话去安装任何新的Skill,A.I.G 都会进行前置安全审计。一旦发现这个 Skill 夹带了私货(比如存在高危的执行删库跑路的指令,或者悄悄把你的隐私数据外发),它会立刻在对话框里向你亮起红牌警告,将威胁扼杀在摇篮里。
此外你还可以自由探索如“每周末用 edgeone-clawscan 帮我做一次安全体检”、“帮我看看 xxx 这个Skill安全吗?”等各种使用方法。
3. 开源共建:一站式AI安全风险评估平台
自2025年初开源至今,朱雀实验室的A.I.G(https://github.com/Tencent/AI-Infra-Guard)已在Github上获得了超过3200个Star,并有20多位社区贡献者与多个高校与企业参与共建。
A.I.G 最新V4版本除了上面介绍的 OpenClaw 安全体检,还支持 AI工具技能扫描( Skill + MCP )、Agent安全扫描( Dify、Coze等工作流风险 )、大模型安全体检( LLM 越狱评估 )、AI基础设施漏洞扫描等功能,提供一站式AI安全风险评估支持。
其中新增的Agent安全扫描能力,已支持快速接入与扫描Dify与Coze等主流Agent Workflow的安全性,覆盖OWASP Top 10 for Agentic Apps 2026中的数据泄露、提示注入、权限配置不当、工具滥用等常见风险检测,相关功能详情我们将在后续文章中介绍,敬请期待。
四、安全,是 AI 助理最重要的"出厂设置"
朱雀实验室 A.I.G 的愿景是帮助大家在 Agent 时代更安心地探索和使用各类 AI 能力。目前我们还在快速迭代大量新功能与体验,并与腾讯科恩实验室联合共建 Skill 安全情报数据,如果你在体验中遇到问题,欢迎大家在我们的Github项目(https://github.com/Tencent/AI-Infra-Guard )中提交Issue、PR或加入微信交流群参与讨论与共建。
在线客服
