国家网安通报中心通报OpenClaw风险

　　【国家网安通报中心通报OpenClaw风险】“这只‘龙虾’，可能正在你的设备里‘偷偷养着’。”3月13日，国家网络安全通报中心的一纸预警，将这个俗称“龙虾”的开源AI智能体——OpenClaw推上了风口浪尖。热搜词“国家网安通报中心通报OpenClaw风险”背后，是一场席卷全球的超20万个互联网资产的“隐形风暴”。从设计缺陷到默认配置漏洞，从高危漏洞到恶意插件，这只被寄予厚望的“智能助手”，正暴露出令人心惊的安全隐患。

　　3月13日，国家网络安全通报中心官方公众号发布《OpenClaw安全风险预警》。通报显示，OpenClaw自发布以来，凭借其强大的自动化任务处理能力与开放式插件生态，在全球范围内引发部署热潮。然而，国家网络与信息安全信息通报中心监测发现，目前全球活跃的OpenClaw互联网资产已超20万个，其中境内活跃资产约2.3万个，呈现爆发式增长态势，主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。大量暴露于互联网的OpenClaw资产存在重大安全风险，极易成为网络攻击的重点目标。

　　这并非唯一的官方预警。就在前一天，国家工业信息安全发展研究中心也发布了《关于工业领域OpenClaw应用的风险预警通报》，直指其在工业领域应用中的潜在威胁。两个国家级安全机构在短时间内接连发声，其严重性可见一斑。

　　通报详细剖析了OpenClaw的五大核心安全风险，其表述之直接、措辞之严厉，在近年来的安全预警中实属罕见。

　　第一，架构设计缺陷多，层层皆可破。OpenClaw采用多层架构，但每一层都存在设计漏洞。IM集成网关层可被攻击者伪造消息绕过身份认证；智能体层可被多轮对话悄然修改行为模式；执行层与操作系统直接交互，存在被完全控制的风险；产品生态层一旦遭投毒，恶意技能插件可批量感染用户设备。这套“层层失守”的架构，无异于为攻击者敞开了大门。

　　第二，默认配置风险高，公网暴露广。通报指出，OpenClaw默认绑定0.0.0.0:18789地址并允许所有外部IP地址访问，远程访问无需账号认证，API密钥和聊天记录等敏感信息明文存储，公网暴露比例高达85%。这意味着，绝大多数用户在安装后未做任何配置修改，就直接将自己的设备“裸奔”在互联网上。

　　第三，高危漏洞数量多，利用难度低。OpenClaw历史披露漏洞多达258个，其中近期暴露的82个漏洞中，超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞2个，以命令和代码注入、路径遍历和访问控制漏洞类型为主，利用难度普遍较低。如此庞大的漏洞库，加上极低的利用门槛，让攻击者几乎可以“按图索骥”地发起精准打击。

　　第四，供应链投毒比例高，生态不安全。针对ClawHub的3016个技能插件分析发现，336个插件包含恶意代码，占比高达10.8%。此外，17.7%的插件会获取不可信第三方内容，成为间接引入安全隐患的载体；2.9%的插件会在运行时从外部端点动态获取执行内容，攻击者可远程修改AI智能体执行逻辑。这意味着，用户每安装10个插件，就很可能有一个是“内鬼”。

　　第五，智能体行为不可控，管控难度大。OpenClaw智能体在执行指令过程中易发生权限失控现象，导致越权执行任务并无视用户指令，可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况，造成重大经济损失。一个本应辅助工作的智能助手，随时可能“反噬”主人。

　　如果说国家网络安全通报中心的预警是针对通用场景的全方位警示，那么国家工业信息安全发展研究中心的通报则聚焦于工业领域的“致命威胁”。通报指出，OpenClaw目前正加速在工业领域研发设计、生产制造、运维管理等环节部署应用。然而，由于OpenClaw存在信任边界模糊、多渠道统一接入、大模型灵活调用、双模持久化记忆等特点，一旦缺乏有效的权限控制策略或安全审计机制，可能因指令诱导、供应链投毒等被恶意接管，造成工控系统失控、敏感信息泄露等一系列安全风险。

　　具体风险被细化为三类：工业主机越权与生产失控风险、工业敏感信息泄露风险、工业企业攻击面扩展与攻击效果放大风险。企业在操作员站、工程师站部署OpenClaw，需授予其较高的系统权限，而其权限管控机制的固有缺陷，极易导致越权执行操作——无视操作员合法指令，擅自发布错误或异常操作指令，可能直接干扰生产流程、破坏设备运行逻辑，造成参数紊乱、产线中断、设备损毁，甚至引发安全生产事故。

　　与此同时，若工业企业在使用过程中感染恶意插件且未设置安全防护策略，攻击者可直接窃取工业图纸、API密钥等核心机密信息。由于OpenClaw对指令的理解精度不稳定，还可能错误调用数据导出或内容发布功能，将本应隔离保存的关键工艺参数、生产数据等内部敏感信息，直接发布在互联网上。此外，若部署时未修改默认网络监听配置且缺乏有效的边界防护，OpenClaw管理界面可直接暴露于公共互联网，攻击者可结合已爆出的80余个安全漏洞低成本实施精准匹配利用。一旦被攻陷，OpenClaw还可能被用作自动化攻击助手，对企业内部网络开展资产探测、漏洞利用，实现横向移动或持久化控制。

　　监管层的风险提醒，迅速在机构层面引发连锁反应。据外媒报道，包括大型银行在内的中国政府机构和国有企业，近日已收到内部通知，出于安全考虑，不得在办公设备上安装OpenClaw软件。部分机构还被要求，若已安装相关应用，需要向上级部门报告，以便开展安全检查，并视情况进行卸载处理。近期已有多所高校要求防范OpenClaw安全风险，部分严禁校内使用。安徽师范大学网络安全与信息化办公室、江苏师范大学信息化建设与公共资源管理处先后发布通知，要认清“龙虾”AI智能体的安全隐患。珠海科技学院信息数据管理处则严禁在校内使用OpenClaw软件，要求已安装相关程序的立即彻底卸载，并清除全部配置、缓存及日志文件，学校将对校园网络及终端开展不定期安全核查，一经发现违规，将依规严肃处理。

　　面对这场席卷而来的安全风暴，国家网络安全通报中心给出了五条具体防范建议：

　　一是及时升级版本。通过可信来源获取安装程序，关注官方安全公告，及时更新至最新版本，修复已披露安全漏洞。

　　二是优化默认配置。仅在本地或内网地址运行，避免绑定公网地址或开放不必要端口，如使用反向代理，需配置身份认证、IP白名单和HTTPS加密。

　　三是谨慎安装第三方插件。通过官方渠道获取第三方技能插件，避免安装来源不明的扩展程序。对已安装插件进行功能审查，发现可疑行为立即卸载。

　　四是加强账户认证管理。启用身份认证机制，设置高强度密码并定期更换，避免使用弱口令。

　　五是限制智能体执行权限。对AI智能体的操作能力进行必要限制，仅允许执行白名单中的系统命令和操作权限，防止AI智能体被恶意指令利用后对个人终端设备造成实质性破坏。

　　国家工业信息安全发展研究中心则针对工业场景提出三项补充建议：加强控制权限管理，原则上禁止向OpenClaw提供系统级权限；强化网络边界隔离，OpenClaw应部署于独立的隔离区，严禁与工业控制网络直接连通；做好漏洞补丁修复，从官方渠道下载部署最新稳定版，并开启自动更新提醒。

　　这只名为OpenClaw的“龙虾”，本是AI时代效率提升的利器。然而，当它被数以万计地暴露在互联网上，当它的每一层架构都可能被攻破，当它的插件生态超过十分之一藏着恶意代码——它就不再是助手，而是随时可能引爆的“定时炸弹”。国家级预警的密集发布，高校和机构的紧急排查，都在传递同一个信号：AI智能体的安全红线，不容试探。