【网络安全警示案例（第6期）】养“龙虾”别被“偷了家”，防范OpenClaw安全风险

近期，一款名为OpenClaw（别名“龙虾”）的开源AI智能体工具在互联网上迅速走红。该工具能够自主理解用户指令、调用插件并执行复杂任务（如自动编写代码、处理文档、操作数据库等），被誉为“超级办公助手”。

然而，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）近日发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》，针对这款热门工具存在的安全隐患，明确作出风险警示并提供相关防范指引。同时，国家互联网应急中心（CNCERT）同步发布《关于OpenClaw安全应用的风险提示》，进一步明确OpenClaw在权限配置、插件使用等方面存在的安全风险，为各类用户规范使用该工具提供安全指引，与工信部相关预警形成联动，共同防范相关网络安全风险。若在政务外网内部署同类智能体或使用不当，极易导致政务外网被穿透、核心数据泄露甚至系统瘫痪。

一、安全风险提示

由于OpenClaw智能体的不当安装和使用，已经出现了一些严重的安全风险：

1.提示词注入与误操作：攻击者可通过精心设计的提示词诱导AI泄露机密或执行破坏性指令（删库、发信）。

2.功能插件投毒：第三方“技能包”可能携带后门，一旦安装，设备将沦为“肉鸡”。

3.敏感信息泄露：在办公、运维场景中，极易导致内网拓扑、数据库账号、API密钥及隐私文件大规模泄露。

4.漏洞利用：目前OpenClaw已公开多个高中危漏洞，未及时修补的系统可能面临直接被攻击者接管的风险。

二、典型风险案例

（一）隐蔽的“特洛伊木马”—插件投毒

1.场景描述：某工作人员为提升工作效率，在一台终端上部署了OpenClaw。为了实现智能体对公文自动排版的能力，其在第三方社区下载了一个名为“公文一键美化”的技能包。

2.安全风险：该技能包实际被植入了恶意脚本。当运行该功能时，恶意脚本在后台静默执行，不仅窃取了电脑中存储的未公开政策草案和内部通讯录，还利用OpenClaw的高权限，横向扫描内网其他服务器，将整台电脑变成了攻击者控制内网的“跳板机”。

（二）被误导的“忠诚员工”—提示词注入

1.场景描述：某部门利用OpenClaw作为办公助手整理每日邮件和日程。攻击者通过该部门对外公示的邮箱发送了一封看似正常的咨询邮件，但在邮件正文的隐藏元数据中嵌入了特殊的“对抗性指令”。

2.安全风险：OpenClaw在自动读取并总结邮件内容时，被隐藏指令欺骗，误以为收到了“管理员最高优先级指令”，从而自动回复了包含系统账号信息的邮件，甚至按照攻击者诱导，删除了本地备份的业务数据。

三、安全防范指南

（一）个人环境防范要点

1.使用官方最新版本。要从官方渠道下载最新稳定版本，并开启更新提醒。不要使用来自第三方网站、历史版本或来源不明的OpenClaw安装包。

2.严格控制互联网暴露面。要定期自查是否存在互联网暴露情况，一旦发现立即下线整改。不要将“龙虾”智能体实例暴露到互联网，确需互联网访问的可以使用SSH等加密通道，并限制访问源地址，使用强密码或证书、硬件密钥等认证方式。

3.坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限，重要操作需进行二次确认或人工审批。不要使用管理员权限账号直接部署或运行OpenClaw。

4.谨慎使用技能市场。要审慎下载ClawHub“技能包”，并在安装前审查技能包代码。不要安装要求“下载ZIP执行”、“输入系统密码”或来源不可信的技能包。

5.防范信息诈骗和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本，遇到可疑行为立即断开网关并重置密码。不要浏览不明网站、点击陌生链接或运行OpenClaw的终端禁用日志功能。

6.建立长效防护机制。要启用详细日志审计功能，定期检查并修补漏洞，关注工信部发布的风险预警。不要认为“安装完就万事大吉”，忽视持续的安全监测和策略调整。

（二）办公环境防范要点

党政机关、企事业单位和个人用户要审慎使用“龙虾”等智能体，不建议在政务外网环境下载使用，存有重要信息的终端禁止安装使用，切实维护区政务外网网络数据安全。

供稿 | 郑政

编辑 | 杨琳

金山数据局

原标题：《【网络安全警示案例（第6期）】养“龙虾”别被“偷了家”，防范OpenClaw安全风险》

阅读原文